Wirusy, wirusy i wirusy...

[Chamsae]

Cześć jak tego się pozbyć, a boje się usunąć tego od razu przez Malware, bo to coś siedzi w sterownikach.

Link do log'u:

http://wklej.to/bYjd0

[Chamsae]

A jak wykonam te skanowanie to co mam dalej robić ( jestem ciemny )

[Janusz.]

zrób logi otl, poradnik znajdziesz w dziale poradniki.

[Chamsae]

expstart.exe - czysty 0/51

JQHApp.dat - czysty 0/51

PLFSetI.exe - czysty 0/51

[Janusz.]

Napisać mi co wykryło.

[Chamsae]

Trzymaj: 

http://wklej.to/KqC6R

[Chamsae]

Logi już się robią wstawię jak się to wszystko zrobi.


Już tylko dysk C skanowało ;f.

http://wklej.to/95NkT

[Janusz.]

w własne opcje skanowania wklej:

:OTL
O20 - HKCU Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
SRV:[b]64bit:[/b] - [2011-09-18 19:18:54 | 003,271,496 | ---- | M] (O&O Software GmbH) [Auto | Running] -- C:\Program Files\OO Software\Defrag\oodag.exe -- (OODefragAgent)
SRV - [2014-01-15 01:48:58 | 004,763,504 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\Windows\SysWOW64\GameMon.des -- (npggsvc)
O13[b]64bit:[/b] - gopher Prefix: missing
O13 - gopher Prefix: missing
 
:Files
C:\Windows\SysNative\oodbs.lor
C:\ProgramData\hash.dat
 
:Commands
[emptytemp]

wykonaj skrypt, zatwierdź restart. w OTL użyj sprzątanie. i tyle.

//Edit

mała poprawka. odinstaluj starą  Java 6 Update 32 i usuń c:\program files (x86)\dll-files.com fixer\dllfixer.exe | 

[Chamsae]

Okej dam znać na PW jak skończę.

 

Dr web Wykrył Ramnita.

[Janusz.]

Tak jak pisałem, oznak infekcji Ramnit'a nie ma. W "własne opcje skanowania" wklej 

 

:OTL
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388699387&from=wpm0102&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&q={searchTerms}
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388699387&from=wpm0102&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&q={searchTerms}
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388699387&from=wpm0102&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388699387&from=wpm0102&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.delta-homes.com/web/?type=ds&ts=1388699387&from=wpm0102&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1393441057&type=default&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1393441057&type=default&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1377186692
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ssbtis1&mntrId=76F916DE2B127A54&affID=119828&tt=070813_wc1&tsp=4972
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9320310AS_5WV0ZYHKXXXX5WV0ZYHK&ts=1393441057&type=default&q={searchTerms}
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Dawid\AppData\Local\Akamai\netsession_win.exe" File not found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\ms-help - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

:Commands
[emptytemp] 

zatwierdź restart komputera. wyczyść przeglądarki

Google Chrome

Ustawienia -> po lewej rozszerzenia i usuwamy wszystkie toolbary/dodatki.

Ustawienia -> po lewej ustawienia -> pokaż ustawienia zaawansowane, zjeżdżamy na sam dół i wybieramy Zresetuj ustawienia przeglądarki.

Ustawienia -> po lewej ustawienia -> wyszukiwanie -> klikamy w zarządzaj wyszukiwarkami i usuwamy wszystko oprócz google.com

 Resetowanie cache wtyczek -> w pasek adresu wpisz chrome://plugins, wybierz dowolną wtyczkę, wyłącz i włącz.

 

Firefox

Menu pomoc -> informacje dla pomocy technicznej -> zresetuj program Firefox.

 

zrób nowy log.

[Janusz.]

czy aby na pewno? :>

 

 

zrób nowy log.

daj jeszcze fixloga którego otl wyświetlił ci po restarcie komputera. 

 

[Chamsae]

Dzięki, ale Ramnit'a wykrywało na dysku D, a OTL skanował tylko dysk C ;f

[Janusz.]

zrób na razie to co napisałem. wiem od czego to może być więc zaraz się tym zajmiemy. 

[Chamsae]

f5555

[Janusz.]

No dobrze, tylko że w tym miejscu 

O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)

O20 - HKCU Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()

powinien być wpis od ramnita którego nie ma. nie zapomnij przeskanować tego pliku.  C:\Windows\expstart.exe

[Chamsae]

Ok, dzięki mistrzu.

 

Z tym qvo6 to nic nie daje bo dawno usunąłem, że było stroną główną itp tylko jak odpalam przeglądarkę to nie da się tego usunąć.

[Janusz.]

Przeskanuj pliki na virustotal.com

C:\Windows\expstart.exe

C:\Windows\JQHApp.dat

C:\Windows\PLFSetI.exe

jak coś wykryje dajesz linki do skanów.

[Chamsae]

Zrobione.

Teraz laptop odpala się w parę sekund.

[Janusz.]

Jeszcze zapomniałem o wyczyszczeniu skrótów. pobierz

www.bleepingcomputer.com/download/shortcut-cleaner/ 

 włącz, poczekaj chwile i tyle. 

[Chamsae]

Fixlog

http://wklej.to/lHkg6

Nowe logi za 5 min około będą.

Logi:

 

http://wklej.to/9eeR7

 

http://wklej.to/CauxL

[Janusz.]

Jeśli MBAM mówi prawdę, w systemie siedzi wirus Ramnit. Pobierz Dr web cure it z

www.freedrweb.com/cureit/?lng=pl 

 strony, przeprowadź skanowanie aż do momentu kiedy nic nie wykryje. 

[Janusz.]

Zabrakło pliku extras, dostarcz.

W logu brak oznak infekcji Ramnit'a. na stronie Virustotal.com przeskanuj plik C:\Windows\expstart.exe plik extras.txt nadal nie dostarczony.

[Chamsae]

Zrobiłem to wszystko.