Cześć
Na komputer siostry wlazł wirus - taki jak w temacie. ESET go wykrył i umieścił w kwarantannie, ale przydało by się usunać tego konia trojańskiego, tylko nie bardzo wiem jak. Od czasu, gdy wisus pojawił się na komputerze siostry występuje problem z połączeniem z siecią bezprzewodową. W załączeniu logi z OTL:
OTL: http://wklej.org/id/1348750/
Z góry dziękuję za odpowiedź
Atis
(Atis)
1 Maj 2014 11:57
#2
W panelu sterowania odinstaluj WPM18.8.0.212.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 64-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Acorus
(Acorus)
1 Maj 2014 12:00
#3
Odinstaluj WPM18.8.0.212,Cake Mania.Użyj AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
Zrobiłem jak napisał Atis. Z późno zobaczyłem Twój post Acorus. Jeśli nie odinstalowałem Cake Mania, to będzie coś nie tak?
Raporty:
FRS: http://wklej.org/id/1348785/
Addntion: http://wklej.org/id/1348787/
Atis
(Atis)
1 Maj 2014 13:08
#5
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Secondary Start Pages =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - ${searchCLSID} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File []
FF Extension: Website Discovery Pro - C:\Users\Avans\AppData\Roaming\Mozilla\Firefox\Profiles\89vva978.default\Extensions\discoverypro@discoverypro.com [2014-04-29]
S3 vvnfagqo; No ImagePath
U4 WMCoreService;
C:\AdwCleaner
C:\Program Files (x86)\SiteFinder
C:\ProgramData\WPM
C:\ProgramData\IePluginService
C:\Users\Avans\AppData\Local\Temp\*.exe
Task: {630BF42E-3738-455F-B9E6-9D0710A69FB9} - System32\Tasks\{5F489BAD-F657-4042-B029-F072B3E51039} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {810F9107-575B-4BAA-ABFA-4186A31BDF14} - System32\Tasks\{BE2820F8-1021-4629-9826-D41857556196} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12002
Task: {A206D92B-B36F-4DBA-9E71-92A4D72B1B77} - System32\Tasks\{8907E1BF-92C9-4233-81F4-41B1F75F40B9} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {C24AE2CA-5A97-41E0-926B-1FA22486E3A8} - System32\Tasks\{8E2879D4-3F9B-45DC-B7DF-7D3816F5A108} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12007
Task: {F0778027-D713-48E9-81EE-F1B0D1097572} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F6292464-4A99-47E5-9D83-E71FA03AC18C}.exe
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
(Atis)
1 Maj 2014 13:23
#7
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File []
C:\Windows\system32\Drivers\wStLibG64.sys
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Zrobiłem wszystko, tak jak to zostało opisane w poprzednim poście. Skanowanie Malwarebytes Anti-Malware nie wykryło żadnych błędów. Czy wrzucić jeszcze jakieś logi z któregoś z programów, czy mogę uznać, że problem został rozwiązany?
Atis
(Atis)
1 Maj 2014 17:57
#9
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Atis
(Atis)
1 Maj 2014 18:29
#11
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
SearchScopes: HKLM - DefaultScope value is missing.
FF NewTab: chrome://quick_start/content/index.html
R1 {3de9eb9c-a833-42cb-b66f-841b954aebef}Gw; C:\Windows\System32\drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw.sys [52920 2014-04-24] (StdLib)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\AdwCleaner
C:\Windows\455F074C814E4520B69B5584BD90400C.TMP
C:\Program Files\Enigma Software Group
C:\Users\Maciek\AppData\Local\nsi3B72.tmp
C:\Users\Maciek\AppData\Local\nsz3E52.tmp
C:\ProgramData\IePluginService
C:\Program Files\GoforFiles Updater
C:\Users\Maciek\AppData\Local\Temp*.html
C:\Windows\system32\Drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw.sys
C:\Users\Maciek\AppData\Local\cache
C:\Users\Maciek\AppData\Local\Temp\*.exe
C:\Users\Maciek\AppData\Local\Temp\*.dll
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
(Atis)
1 Maj 2014 18:47
#13
Skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Malwarebytes wykazał dwa zagrożenia, oba przeniosłem do kwarantanny.
http://wklej.org/id/1349144/
To drugie, KMS -wiem co to, ale ten pierwszy to nie mam pojęcia. Coś jeszcze z tym zrobić?
Atis
(Atis)
1 Maj 2014 19:39
#15
Skasuj cały folder DM:
C:\Users\Maciek\AppData\Local\DM