Fałszywy defragmenter

maskar · 7 Styczeń 2011 15:50

Witam kolegów profesjonalistów.

Otóż, ostatnio, nie wiem jakim sposobem wkradł mi się na kompa fałszywy defragmenter, któremu dałem się nabrać. Wyglada on dokładnie tak:

http://www.google.pl/images?q=defragmen … 24&bih=574

Uruchamia się on przy każdym starcie systemu, co jest bardzo uciążliwe, ponadto co chwilę wyświetla się dymek ‘Critical Error’ Damaged hard drive clusters detected. Private data is at risk. ( przy zegarze, w prawym dolnym rogu jest tak jakby windows alert - biały krzyżyk w czerwonym kółku). Oprócz tego, co jakiś czas znika mi pasek zadań. Czy ktoś może pomóc mi pozbyć się tego badziewia? Ostrzegam iż jestem kompletnie zielony w tej tematyce, także proszę o wyrozumiałość i cierpliwość

Pozdrawiam

zaremo · 7 Styczeń 2011 15:59

skoro mówisz że jesteś całkowicie zielony to czy próbowałeś w ogóle odinstalować ten program?

maskar · 7 Styczeń 2011 16:01

jasne, podczas odinstalowywania wyskakuje błąd ‘File modification error’

zaremo · 7 Styczeń 2011 16:05

spróbój wyłączyć wszytkie procesy związane z tym programem ( ctrl+alt+del > zaznaczasz i zakończ proces) i spróbuj skasować cały folder z tym programem a pozniej po prostu wpis usuwasz z dodaj luc usuń programy. Jak nei da rady to zaraz ci znajde jakis ciekawy programik do kasowania plików

http://www.searchengines.pl/Kasowanie-zablokowanych-plikow-t13281.html

możesz też bardzo łatwo wyłączyć ten program żeby się przy starcie nie włączał np programem Ccleaner program jest łatwy w obsłudze i sam powinieneś sobie poradzić

Leon1 · 7 Styczeń 2011 16:51

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

maskar · 8 Styczeń 2011 02:21

Olbrzymie dzięki Panie Leonie, anti-malware zadziałał doskonale, pozbyłem się tego shitu

Oto logi:

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowano obiektów: 196204

Upłynęło: 1 godzin(y), 2 minut(y), 39 sekund(y)


Zainfekowanych procesów w pamięci: 2

Zainfekowanych modułów w pamięci: 1

Zainfekowanych kluczy rejestru: 11

Zainfekowanych wartości rejestru: 7

Zainfekowane informacje rejestru systemowego: 1

Zainfekowanych folderów: 0

Zainfekowanych plików: 25


Zainfekowanych procesów w pamięci:

c:\WINDOWS\Gpixyb.exe (Trojan.Agent) -> 1776 -> Unloaded process successfully.

c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> 1212 -> Not selected for removal.


Zainfekowanych modułów w pamięci:

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.


Zainfekowanych kluczy rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Not selected for removal.

HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Z30KYPG3WS (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.


Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vwCfAqEryg.exe (Trojan.FakeAlert.Gen) -> Value: vwCfAqEryg.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.Agent) -> Value: JP595IR86O -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vWLKdLDhCL.exe (Trojan.FakeAlert.Gen) -> Value: vWLKdLDhCL.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Not selected for removal.


Zainfekowane informacje rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\hrpgnlkrfr.dll (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\vwcfaqeryg.exe (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\12099140.exe (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\WINDOWS\Gpixyb.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\Gwl.exe (Trojan.Agent) -> Delete on reboot.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> Not selected for removal.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\Gwm.exe (Trojan.Agent) -> Delete on reboot.

c:\documents and settings\qqq\ustawienia lokalne\Temp\vwlkdldhcl.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

c:\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Not selected for removal.

c:\documents and settings\qqq\ustawienia lokalne\Temp\gghreqcvbn.dll (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwk.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwo.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\program files\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Not selected for removal.

c:\WINDOWS\Gpixya.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\wkbvcwsu.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\msnetobj3.dll (Trojan.Agent) -> Quarantined and deleted successfully.

e:\gry\cs\platform\Admin\adminserver.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\dane aplikacji\Adobe\plugs\kb12117046.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\0.15993469479358868.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\0.16027625408325397.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Jak to wygląda?

Leon1 · 8 Styczeń 2011 11:09

Mbam usunął co trzeba dla pewności

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

maskar · 8 Styczeń 2011 11:44

Proszę bardzo:

OTL.txt http://wklej.to/4T0Iz

Extras.txt http://wklej.to/N48FM

jeszcze raz dzięki za troskę

Leon1 · 8 Styczeń 2011 12:03

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKCU…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found FF - prefs.js…extensions.enabledItems: pdfforge@mybrowserbar.com:4.1 FF - prefs.js…extensions.enabledItems: wtxpcom@mybrowserbar.com:4.1 O4 - HKLM…\Run: [] File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O33 - MountPoints2{859b5a48-86b6-11df-ab83-000fb06f4dac}\Shell\AutoRun\command - “” = G:\i8gcgmg.exe – File not found O33 - MountPoints2{859b5a48-86b6-11df-ab83-000fb06f4dac}\Shell\open\Command - “” = G:\i8gcgmg.exe – File not found O33 - MountPoints2{f26e47b3-1491-11df-aa77-000fb06f4dac}\Shell\AutoRun\command - “” = SUPERMEN/joziii.exe O33 - MountPoints2{f26e47b3-1491-11df-aa77-000fb06f4dac}\Shell\explore\command - “” = SUPERMEN/joziii.exe O33 - MountPoints2{f26e47b3-1491-11df-aa77-000fb06f4dac}\Shell\open\command - “” = SUPERMEN/joziii.exe MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk - C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE - File not found MsConfig - StartUpReg: CTFMON.EXE - hkey= - key= - File not found MsConfig - StartUpReg: MMTray - hkey= - key= - File not found MsConfig - StartUpReg: MMTray2K - hkey= - key= - File not found MsConfig - StartUpReg: MMTrayLSI - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: nwiz - hkey= - key= - File not found MsConfig - StartUpReg: QuickTime Task - hkey= - key= - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe”=- “C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe”=- :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)