Prośba o sprawdzenie logów ( Kłopot z aplikacjami )

Witam. Chciałbym poprosić o sprawdzenie logów, ponieważ jakiś tydzień temu sam zainstalował mi się McAfee ( usunąłem już ) i od tego czasu mam kłopoty z aplikacjami ( może kłopot to złudne pojęcie, prędzej niepokój ). Z niektórych aplikacji poznikały mi pliki ( przy starcie komputera wyskakuje mi różne błędy dot. plików danych aplikacji i nie uruchamiają się one na auto starcie ).

Logi:

I tu jest tak iż przy Combofixie mam BSOD'a z BAD_POOL_HEADER
Jedynie mam Hijack'a: http://wklej.org/hash/29d01800e4/
I Malware: W załączniku


P.S: Przy okazji mam troszkę rzeczy na auto starcie i chciałbym je wyłączyć, a nie za bardzo wiem jak. Sprawdzałem msconfig, ale nie mam pojęcia które rzeczy są ważne, a które nie, więc jak by ktoś się znał na tym i mógłby pomóc to screeny: http://i46.tinypic.com/2akhfh1.jpg
http://i47.tinypic.com/65zfa8.jpg - To zaznaczone mnie ciekawi
http://i49.tinypic.com/25utny0.jpg
Zależy mi by wyłączyć większość zbędnych rzeczy.

Zdjęcia dodajemy za pomocą przycisku "Dodaj obrazek" - popraw. mat_ed

Przepraszam, ale nie mam jak tego poprawić ponieważ po wstawieniu usunąłem je.

Edit: Dodałem w razie czego te z malware

Masz zainfekowany system. Daj w zalaczniku log z OTL.

Z tym OTL jestem zielony więc zeskanowałem to tak jak było od razu po ściągnięciu ( wszędzie Use SafeList tylko w ostatnim " Extra Registry " None )

Usun to co wykryl mbam.

Odinstaluj Yahoo! Companion.

Wklej do OTL:

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Value error. File not found
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Value error. File not found
O2 - BHO: (Yahoo! Companion BHO) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found
O2 - BHO: (IE 4.x-5.x BHO in ObjectPascal) - {49E0E0F0-5C30-11D4-945D-000000000000} - Reg Error: Value error. File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll File not found
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {73C7D5B0-7B03-444A-84C7-CE1BA03B5573} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [HKLM] C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [NPSStartup] File not found
n)O4 - HKCU..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe File not found
O4 - HKCU..\Run: [HKCU] C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O4 - HKCU..\RunOnce: [UniblueRegistryBooster] F:\Program Files\Uniblue\RegistryBooster\launcher.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O28 - HKLM ShellExecuteHooks: {68101905-D80F-4788-96F6-98618116178A} - C:\WINDOWS\system32\flashadgm32.dll ()
@Alternate Data Stream - 1199 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:cBf6jkFjuOzpfShQX7cbo2YLXd
@Alternate Data Stream - 1168 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:9v5tGRHxXosU7exYXOM3

:Files
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\ask.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\conduit.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\winamp-search.xml
C:\WINDOWS\system32\flashadgm32.dll
C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

Po wklejeniu klikasz RunFix, po wykonaniu daj nowy log z OTL + ten, ktory sie utowrzy po wykonaniu tego co podalem.

Cóż chyba coś poszło nie tak. Otóż wkleiłem całe to:

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Value error. File not found
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Value error. File not found
O2 - BHO: (Yahoo! Companion BHO) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found
O2 - BHO: (IE 4.x-5.x BHO in ObjectPascal) - {49E0E0F0-5C30-11D4-945D-000000000000} - Reg Error: Value error. File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll File not found
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {73C7D5B0-7B03-444A-84C7-CE1BA03B5573} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [HKLM] C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [NPSStartup] File not found
n)O4 - HKCU..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe File not found
O4 - HKCU..\Run: [HKCU] C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O4 - HKCU..\RunOnce: [UniblueRegistryBooster] F:\Program Files\Uniblue\RegistryBooster\launcher.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe (Xh5Mv)
O28 - HKLM ShellExecuteHooks: {68101905-D80F-4788-96F6-98618116178A} - C:\WINDOWS\system32\flashadgm32.dll ()
@Alternate Data Stream - 1199 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:cBf6jkFjuOzpfShQX7cbo2YLXd
@Alternate Data Stream - 1168 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:9v5tGRHxXosU7exYXOM3

:Files
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\ask.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\conduit.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Kuba\Dane aplikacji\Mozilla\Firefox\Profiles\l54iqmub.default\searchplugins\winamp-search.xml
C:\WINDOWS\system32\flashadgm32.dll
C:\Programfiler\Common Files\sytem\install\system\Microsoft_kbh4j3k63.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

I jak dałem Run Fix to coś tam porobił i za chwilę wyskoczył BSOD z nv4_disp ( ale nie jestem pewien, mam słabą pamięć a zdjęcia sobie nie zrobiłem ) w każdym razie na pewno n..._d..

Po tym wszystkim na pulpicie jedynie pojawił mi się plik Thumb.db i to wszystko.

Log ( ręcznie zrobiony ):

Wykonaj jeszcze raz to co napisalem, mozesz sprobowac w trybie awaryjnym.

Teraz się udało. Chyba jest już dobrze, bo teraz nic co wcześniej się działo nie wyskakuje. W załącznikach to co wyskoczyło po tym procesie ( musiałem w tym raporcie po restarcie zmienić rozszerzenie z log. na .txt nie wiem czy to nie przeszkodzi, ale niedozwolonym formatem na forum jest te .log )

P.S: Jakby ktoś mógłby mi pomóc ( ew. powiedzieć w jakim dziale to napisać ) jak wyłączyć zbędne procesy. Po prostu nie chciałbym wyłączyć czegoś ważnego z systemu.

Wylacz to co jest zbedne w msconfig zakladka uruchamianie, zawsze bedziesz mogl wlaczyc to co wylaczyles.

W OTL wybierz CleanUp. Usun tez: C:\Programfiler to pozostalosc po infekcji.

Dobra wyczyściłem to wszystko i usunąłem ten Programfiler, a co do tych auto startów to po prostu wiem gdzie to wyłączyć i jak tylko nie wiem co wyłączyć ( w 1 poście są 3 zdjęcia na tiny pic ). Jak ktoś by mógł to ja bym poprosił tylko o powiedzenie mi co z tego to procesy niezbędne do uruchomienia systemu/komputera ( po prostu potrzebne ).

Wylacz np:
O4 - HKLM..\Run: [TotalRecorderScheduler] F:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe (High Criteria inc.)
O4 - HKCU..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKCU..\Run: [BitTorrent DNA] C:\Program Files\DNA\btdna.exe (BitTorrent, Inc.)
O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe (Electronic Arts)
O4 - HKCU..\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe (Gadu-Gadu S.A.)
O4 - HKCU..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe File not found
O4 - HKCU..\Run: [Google Update] C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKCU..\Run: [IDMan] H:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
O4 - HKCU..\Run: [RGSC] D:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe (Take-Two Interactive Software, Inc.)
O4 - HKCU..\Run: [Steam] g:\program files\steam\steam.exe (Valve Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\GamersFirst LIVE!.lnk = C:\Program Files\GamersFirst\LIVE!\Live.exe ()

z hijacka usuń to:
#

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

#

O2 - BHO: IE 4.x-5.x BHO in ObjectPascal - {49E0E0F0-5C30-11D4-945D-000000000000} - (no file)

#

O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

cezzarro_pl
Wpisy, ktore podales zostaly juz dawno usuniete, na przyszlosc czytac CALY temat w ktorym sie wypowiadasz.

Jedyne co zostalo to npggsvc, wystarczy wpisac w uruchom: sc delete npggsvc ale to i tak tylko kosmetyka i nie ma zwiazku z problemem autora.

No jednak coś jeszcze było bo na wieczór byłem zmuszony do formatowania komputera, ponieważ już system nie odpalał ( zatrzymywał się na niebieskim okienko z napisem Zapraszamy, nawet w awaryjnym ).

P.S: Przepraszam, że dopiero teraz napisałem, ale byłem zmuszony uzupełnić braki ( zależało mi na kilku kontach na MMO, bo czasami lubię sobie popykać przez internet ).