Zaraziłem sie wirusem jak w temacie. Proszę bardzo o pomoc, poniżej zamieszczam logi z OTL.
OTL - http://www.wklej.org/id/959310/
Extras - http://www.wklej.org/id/959311/
Acorus
(Acorus)
18 Luty 2013 19:01
#2
Odinstaluj Yontoo 1.12.02.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbser6k.sys – (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbnmea.sys – (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ZTEusbmdm6k.sys – (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] – System32\DRIVERS\igdkmd32.sys – (igfx) IE - HKU\S-1-5-21-1078081533-776561741-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT3176921 IE - HKU\S-1-5-21-1078081533-776561741-839522115-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FD&apn_dtid=YYYYYYYYPL&apn_uid=EC3E6CEC-9D34-4C63-847D-BC7E119D6986&apn_sauid=9EFA48E6-A58E-4237-8EE6-BB4B5C512611 IE - HKU\S-1-5-21-1078081533-776561741-839522115-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN11900028081591117 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.defaultthis.engineName: “express-files Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=3&q={searchTerms}&CUI=UN14148249516072236 ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledAddons: plugin%40yontoo.com:1.20.00 [2013-02-18 14:02:06 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\n797pxpa.default\extensions\plugin@yontoo.com [2011-04-22 18:51:08 | 000,002,560 | ---- | M] () – C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\n797pxpa.default\searchplugins\askcom.xml [2013-02-18 14:02:33 | 000,000,985 | ---- | M] () – C:\Documents and Settings\Ania\Dane aplikacji\Mozilla\Firefox\Profiles\n797pxpa.default\searchplugins\conduit.xml O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) O3 - HKU\S-1-5-21-1078081533-776561741-839522115-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1078081533-776561741-839522115-1003…\Run: [Pdvevt] C:\Documents and Settings\Ania\Dane aplikacji\Pdvevt.exe File not found O4 - HKU\S-1-5-21-1078081533-776561741-839522115-1003…\RunOnce: [6C50041B431C688800006C4F97D16E4B] C:\Documents and Settings\All Users\Dane aplikacji\6C50041B431C688800006C4F97D16E4B\6C50041B431C688800006C4F97D16E4B.exe () O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … mvadvd.cab (Reg Error: Key error.) [2013-02-18 14:03:37 | 000,000,000 | —D | C] – C:\Program Files\Conduit [2013-02-18 14:03:33 | 000,000,000 | —D | C] – C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Conduit [2013-02-18 14:02:06 | 000,000,000 | —D | C] – C:\Program Files\Yontoo [2013-02-18 14:01:37 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer [2013-02-12 14:15:49 | 000,000,000 | —D | C] – C:\Documents and Settings\Ania\Dane aplikacji\OpenCandy [2013-02-18 14:06:27 | 000,000,290 | ---- | M] () – C:\WINDOWS\tasks\Express FilesUpdate.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Files C:\Documents and Settings\All Users\Dane aplikacji\6C50041B431C688800006C4F97D16E4B :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Raport z usuwania - http://wklej.org/id/959394/
Nowy log OTL - http://wklej.org/id/959395/
Nie uruchamia się już “skanowanie” przez tego wirusa. Antywirus(ESET NOD32) w tym momencie wyświetla komunikaty o wykrywaniu wirusów. Proszę o dalsze porady.
EDIT:
Stwierdziłem ponad to iż nie moge wejść w ustawienia Zapory Windows z powodu “niezidentyfikowanego błędu systemu”. Poszukałem coś o tym, i podobno w rejestrze występują klucze sharedaccess , ale mają wyczyszczone część wartości. Polecono tam uzupełnienie odpowiednich gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet o właściwe wartości umożliwiło włączenie zapory.
Nie chce tego robić na własną rękę dlatego może jakoś pomoże tutaj kogoś naprowadzić na właściwy trop.
Usuń ręcznie folder C:\ _OTL opróżnij po tym systemowy kosz.
Teraz wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html (w trakcie instalacji nie godzisz się na okres testowy) Wykonaj pełny skan, jeśli program coś wykryje pokaż raport na forum.
Stwierdziłem ponad to iż nie moge wejść w ustawienia Zapory Windows z powodu “niezidentyfikowanego błędu systemu”. Poszukałem coś o tym, i podobno w rejestrze występują klucze sharedaccess , ale mają wyczyszczone część wartości. Polecono tam uzupełnienie odpowiednich gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet o właściwe wartości umożliwiło włączenie zapory.
Pokaż raport FSS Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje)