Witam
Jestem kolejnym nieszczęśnikiem którego dopadł złośliwy antyvirus.
OTL : http://wklej.to/yWVYn
EXTRAS: http://wklej.to/s1Isn
Proszę o pomoc w jego usunięciu.
Witam
Jestem kolejnym nieszczęśnikiem którego dopadł złośliwy antyvirus.
OTL : http://wklej.to/yWVYn
EXTRAS: http://wklej.to/s1Isn
Proszę o pomoc w jego usunięciu.
Napisz skąd wszyscy biorą tego trojana?
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - [2012-02-17 22:22:51 | 000,092,160 | -HS- | M] () [Auto | Running] -- C:\WINDOWS\Debug\micq.exe -- (204211)
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=fbqRLMpVi-MALIGMQh0yTk997DQ?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49758
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 49758
FF - prefs.js..network.proxy.type: 1
O4 - HKLM..\Run: [564.exe] C:\Program Files\LP\1302\564.exe ()
O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)
O4 - HKLM..\Run: [D7D.exe] C:\Program Files\LP\96E2\D7D.exe ()
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found
O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)
O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn)
O4 - HKCU..\Run: [g1b2waustwbr] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)
O4 - HKCU..\Run: [winlogon] C:\Documents and Settings\---\winlogon.exe (Tomasz Pawlak)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe) - C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe ()
[2012-03-20 00:08:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Menu Start\Programy\Antivirus Protection 2012
[2012-03-04 00:03:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012
[2012-02-22 15:39:21 | 000,000,000 | ---D | C] -- C:\Program Files\29F28
[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\2CC29
[2012-03-20 00:08:38 | 000,001,936 | ---- | M] () -- C:\Documents and Settings\---\Pulpit\Antivirus Protection 2012.lnk
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Temp\_ex-68.exe"=-
"C:\WINDOWS\Debug\micq.exe"=-
:Commands
[resethosts]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Dzięki za odpowiedź Atis
Niestety komputer ma kilku użytkowników i nie wiem skąd to się wzięło.
Po wykonaniu skryptu(wg. zaleceń) OTL zawiesił się wyświetlając u dołu okna:
Processing registry data "“C:\WINDOWS\Debug\micq.exe”-…
czekałem, czekałem i nic
co dalej z tym zrobić?
Uruchom system w trybie awaryjnym i wtedy użyj skryptu.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
Po uruchomieniu komputera w trybie awaryjnym i wykonaniu skryptu w OTL
dzieje się dokładnie to samo. Pojawia się:
Processing registry data "“C:\WINDOWS\Debug\micq.exe”-…
i komputer pozostał na tym etapie przez kilka godzin i nic.
Da się coś jeszcze z tym zrobić?
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=fbqRLMpVi-MALIGMQh0yTk997DQ?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49758
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 49758
FF - prefs.js..network.proxy.type: 1
O4 - HKLM..\Run: [564.exe] C:\Program Files\LP\1302\564.exe ()
O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)
O4 - HKLM..\Run: [D7D.exe] C:\Program Files\LP\96E2\D7D.exe ()
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found
O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)
O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn)
O4 - HKCU..\Run: [g1b2waustwbr] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)
O4 - HKCU..\Run: [winlogon] C:\Documents and Settings\---\winlogon.exe (Tomasz Pawlak)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe) - C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe ()
[2012-03-20 00:08:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Menu Start\Programy\Antivirus Protection 2012
[2012-03-04 00:03:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012
[2012-02-22 15:39:21 | 000,000,000 | ---D | C] -- C:\Program Files\29F28
[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\2CC29
[2012-03-20 00:08:38 | 000,001,936 | ---- | M] () -- C:\Documents and Settings\---\Pulpit\Antivirus Protection 2012.lnk
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Temp\_ex-68.exe"=-
"C:\WINDOWS\Debug\micq.exe"=-
:Commands
[resethosts]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Wklej do OTL i kliknij Wykonaj skrypt:
Pokaż raport z usuwania i nowy log Skanuj.
Dzięki
wykonałem skrypt
raport z usuwania: http://wklej.to/DGUhX
nowy Log : http://wklej.to/qkqGS
wielkie dzięki za pomoc