Co to za wirus, wyłączył internet i spowolnił pracę komputera, windows 7


(Michalmatma32) #1

Wirus był w pliku o rozszerzeniu .scr (to chyba plik wygaszacza ekranu), dostałem go jako załącznik w mailu. Po uruchomieniu go wyłączył internet (nie dało się połączyć z rzadną siecią wifi), nie dało się włączyć mozilli firefox, a laptop zaczął wolniej chodzić. Laptop zaniosę do informatyka, ale chcę wiedzieć, czy wirus mógł wykraść z komputera jakieś dane (jak hasła albo pliki firmowe). Zamieszczam jego kod źródłowy (w pliku .txt, żeby zadziałał należy zapisać go w formacie .scr) kod wirusa.txt.


(foni78) #2

przeskanuj Malwarebytes Anti-Malware     zaktualizuj mu baze  wirusów  i programem  Adw Cleaner usuń co znajdą


(Michalmatma32) #3

Kiedy zaczynam skanować Malwarebytes Anti-Malware windows wyświetla okienko, że program przestał działać (próbowałem kilka razy).


(Atis) #4

OTL - Raport obowiązkowy:

http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679

W razie problemów uruchom system w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1


(Acorus) #5

W trybie awaryjnym przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl

Pokaż logi z OTL http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/


(Michalmatma32) #6

Raport OTL: OTL.TxtExtras.Txt


(Atis) #7

Odinstaluj a2zLyrics-16, Only Chrome Toolbar, Only toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-2873528487-3886868331-3066168925-1000\..\SearchScopes\{31404B86-FD2D-4FBE-8BE4-A792C4FE450F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=a7b05cc4-05ac-41c8-a93e-d2b1da7d0288&apn_sauid=91DE9ECE-B811-4AF7-A8F2-CD57EA37F306
FF - prefs.js..browser.search.defaultengine: "Ask.com"
[2014-03-07 04:15:10 | 000,000,000 | ---D | M] ("a2zLyrics-16") -- C:\Users\Dell\AppData\Roaming\mozilla\Firefox\Profiles\amj8654q.default\extensions\2f86d471-1122-4c15-901a-d7fd67316cd9@ca42b8d2-0eb6-47be-84a2-6d95abe186e8.com
[2013-10-19 07:28:43 | 000,000,000 | ---D | M] (onlytoolbar.com) -- C:\Users\Dell\AppData\Roaming\mozilla\Firefox\Profiles\amj8654q.default\extensions\ffxtlbr@onlytoolbar.com
[2013-10-10 20:07:29 | 000,000,000 | ---D | M] (Vividas player plugin) -- C:\Users\Dell\AppData\Roaming\mozilla\Firefox\Profiles\amj8654q.default\extensions\player@vividas.com
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2873528487-3886868331-3066168925-1000..\Run: [pwo6] C:\Users\Dell\AppData\Roaming\pwo6\svchost.exe ()
O4 - HKU\S-1-5-21-2873528487-3886868331-3066168925-1000..\Run: [Wipuvabaa] C:\Users\Dell\AppData\Roaming\Ofidyz\ligu.exe (FileZilla)
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-03-14 11:22:43 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Zyyble
[2014-03-14 11:22:43 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Uvty
[2014-03-14 11:22:43 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Loary
[2014-03-14 11:22:27 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Zeubq
[2014-03-14 11:22:27 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Wuvyf
[2014-03-14 11:22:27 | 000,000,000 | ---D | C] -- C:\Users\Dell\AppData\Roaming\Ofidyz
[2014-02-21 14:41:00 | 000,000,000 | ---D | C] -- C:\Program Files\webrec
[2014-02-21 14:41:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe
[2014-02-21 14:41:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\webplugin.exe
[2014-03-16 17:59:06 | 000,000,300 | ---- | M] () -- C:\Windows\tasks\VKAJAMENOH.job
[2013-06-01 08:10:19 | 000,172,032 | RHS- | C] () -- C:\Windows\SysWow64\KBDLV1P.dll
:Files
C:\Users\Dell\AppData\Roaming\pwo6
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Michalmatma32) #8

OK, już robię.


(Michalmatma32) #9

Oto raport po wykonaniu skryptu OTL2.txt i po ponownym skanowaniu OTL3.TxtExtras2.Txt

Internet działa, dzięki.

Czy ten wirus mógł wykraść jakieś dane, jaki to był wirus i czy jest już w pełni usunięty?


(Atis) #10

Nie wiem jakie funkcje miał ten trojan.

Wklej i kliknij Wykonaj skrypt:

:OTL
IE - HKU\S-1-5-21-2873528487-3886868331-3066168925-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
[2013-10-19 07:28:43 | 000,006,226 | ---- | M] () -- C:\Users\Dell\AppData\Roaming\mozilla\firefox\profiles\amj8654q.default\searchplugins\onlytoolbar.xml
O2 - BHO: (onlytoolbar Helper Object) - {7ECD5132-756F-46C5-A0CA-19DE6999DAE4} - C:\Program Files (x86)\OnlyToolbar\onlytoolbar\1.8.26.9\bh\onlytoolbar.dll (Only-Toolbar)
O3 - HKLM\..\Toolbar: (onlytoolbar Toolbar) - {2DEE5825-8CD4-4F53-A197-E469128546AE} - C:\Program Files (x86)\OnlyToolbar\onlytoolbar\1.8.26.9\onlytoolbarTlbr.dll (Only-Toolbar)
[2014-03-16 17:55:29 | 000,000,000 | ---D | C] -- C:\AdwCleaner
:Files
C:\Program Files (x86)\OnlyToolbar

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date