Fałszywy defragmenter


(Szila 89) #1

Witam kolegów profesjonalistów.

Otóż, ostatnio, nie wiem jakim sposobem wkradł mi się na kompa fałszywy defragmenter, któremu dałem się nabrać. Wyglada on dokładnie tak:

http://www.google.pl/images?q=defragmen ... 24&bih=574

Uruchamia się on przy każdym starcie systemu, co jest bardzo uciążliwe, ponadto co chwilę wyświetla się dymek 'Critical Error' Damaged hard drive clusters detected. Private data is at risk. ( przy zegarze, w prawym dolnym rogu jest tak jakby windows alert - biały krzyżyk w czerwonym kółku). Oprócz tego, co jakiś czas znika mi pasek zadań. Czy ktoś może pomóc mi pozbyć się tego badziewia? Ostrzegam iż jestem kompletnie zielony w tej tematyce, także proszę o wyrozumiałość i cierpliwość :slight_smile:

Pozdrawiam


(Konradwitowski) #2

skoro mówisz że jesteś całkowicie zielony to czy próbowałeś w ogóle odinstalować ten program?


(Szila 89) #3

jasne, podczas odinstalowywania wyskakuje błąd 'File modification error'


(Konradwitowski) #4

spróbój wyłączyć wszytkie procesy związane z tym programem ( ctrl+alt+del > zaznaczasz i zakończ proces) i spróbuj skasować cały folder z tym programem a pozniej po prostu wpis usuwasz z dodaj luc usuń programy. Jak nei da rady to zaraz ci znajde jakis ciekawy programik do kasowania plików

http://www.searchengines.pl/Kasowanie-zablokowanych-plikow-t13281.html

możesz też bardzo łatwo wyłączyć ten program żeby się przy starcie nie włączał np programem Ccleaner program jest łatwy w obsłudze i sam powinieneś sobie poradzić


(Leon$) #5

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

:slight_smile:


(Szila 89) #6

Olbrzymie dzięki Panie Leonie, anti-malware zadziałał doskonale, pozbyłem się tego shitu :slight_smile:

Oto logi:

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowano obiektów: 196204

Upłynęło: 1 godzin(y), 2 minut(y), 39 sekund(y)


Zainfekowanych procesów w pamięci: 2

Zainfekowanych modułów w pamięci: 1

Zainfekowanych kluczy rejestru: 11

Zainfekowanych wartości rejestru: 7

Zainfekowane informacje rejestru systemowego: 1

Zainfekowanych folderów: 0

Zainfekowanych plików: 25


Zainfekowanych procesów w pamięci:

c:\WINDOWS\Gpixyb.exe (Trojan.Agent) -> 1776 -> Unloaded process successfully.

c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> 1212 -> Not selected for removal.


Zainfekowanych modułów w pamięci:

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.


Zainfekowanych kluczy rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Not selected for removal.

HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Z30KYPG3WS (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.


Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vwCfAqEryg.exe (Trojan.FakeAlert.Gen) -> Value: vwCfAqEryg.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.Agent) -> Value: JP595IR86O -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Not selected for removal.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vWLKdLDhCL.exe (Trojan.FakeAlert.Gen) -> Value: vWLKdLDhCL.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Not selected for removal.


Zainfekowane informacje rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\hrpgnlkrfr.dll (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\vwcfaqeryg.exe (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\12099140.exe (Trojan.FakeAlert.Gen) -> Delete on reboot.

c:\WINDOWS\Gpixyb.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\Gwl.exe (Trojan.Agent) -> Delete on reboot.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> Not selected for removal.

c:\Documents and Settings\qqq\Ustawienia lokalne\Temp\Gwm.exe (Trojan.Agent) -> Delete on reboot.

c:\documents and settings\qqq\ustawienia lokalne\Temp\vwlkdldhcl.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

c:\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Not selected for removal.

c:\documents and settings\qqq\ustawienia lokalne\Temp\gghreqcvbn.dll (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwk.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwo.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\Gwp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\program files\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Not selected for removal.

c:\WINDOWS\Gpixya.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\wkbvcwsu.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\msnetobj3.dll (Trojan.Agent) -> Quarantined and deleted successfully.

e:\gry\cs\platform\Admin\adminserver.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\dane aplikacji\Adobe\plugs\kb12117046.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\0.15993469479358868.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\documents and settings\qqq\ustawienia lokalne\Temp\0.16027625408325397.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Jak to wygląda? :slight_smile:


(Leon$) #7

Mbam usunął co trzeba dla pewności

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

:slight_smile:


(Szila 89) #8

Proszę bardzo:

OTL.txt http://wklej.to/4T0Iz

Extras.txt http://wklej.to/N48FM

jeszcze raz dzięki za troskę :wink:


(Leon$) #9

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile: