Komputer sam tworzy skróty na pulpicie

kacprosz · 17 Sierpień 2013 20:22

Witam

Problem wygląda następująco, otóż przy włączaniu komputera wyskakuje komunikat o plikach oczekujących na nagranie, oraz tworzą się skróty na pulipcie oraz we wszystkich folderach. Raz ikony są w postaci IE a raz jako alkohol 120%. Nie wiem jak się tego pozbyć, próbowałem Combofix ale nie dało rady.

Dzięki za pomoc.

OTL:http://wklej.org/id/1110305/

http://wklej.org/id/1110306/

Atis · 17 Sierpień 2013 20:39

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\PCANDIS4.SYS – (PCANDIS4) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\PCAMPR4.SYS – (PCAMPR4) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Users\Kacper\AppData\Local\Temp\catchme.sys – (catchme) [2013-07-30 07:50:39 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Roaming\mozilla\firefox\profiles\i72c3e2m.default\searchplugins\searchplugins.exe [2012-10-12 19:05:34 | 000,003,915 | ---- | M] () – C:\Users\Kacper\AppData\Roaming\mozilla\firefox\profiles\i72c3e2m.default\searchplugins\sweetim.xml O4 - HKLM…\Run: [cgomq] C:\Windows\System32\cwuicyyqldfnxtjbypgmu.exe () O4 - HKLM…\Run: [ueswgsiqbjb] C:\Users\Kacper\AppData\Local\Temp\asoasmkatjjpxrfvqfu.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\Run: [cgomq] C:\Users\Kacper\AppData\Local\Temp\cwuicyyqldfnxtjbypgmu.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\Run: [pwhipylq] C:\Windows\System32\zohqfwreuhehmdob.exe () O4 - HKLM…\RunOnce: [nsbafm] C:\Windows\System32\pgbmdwtiapotatgvpd.exe () O4 - HKLM…\RunOnce: [zivyhshoyf] C:\Users\Kacper\AppData\Local\Temp\asoasmkatjjpxrfvqfu.exe . () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\RunOnce: [goackuiox] C:\Windows\System32\zohqfwreuhehmdob.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\RunOnce: [nsbafm] C:\Users\Kacper\AppData\Local\Temp\gwqaqiesjxvzfxjxq.exe . () O4 - Startup: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: agqqweq = ngdqjeduofgnwrgxtjze.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: twda = C:\Users\Kacper\AppData\Local\Temp\gwqaqiesjxvzfxjxq.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O32 - AutoRun File - [2013-08-15 19:58:33 | 000,000,805 | RHS- | M] () - C:\autorun.inf – [NTFS] [2013-08-17 22:13:32 | 000,000,280 | -H-- | M] () – C:\Windows\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-17 22:13:32 | 000,000,280 | -H-- | M] () – C:\Users\Kacper\AppData\Local\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-17 22:13:32 | 000,000,280 | -H-- | M] () – C:\Program Files\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-17 22:13:01 | 000,000,280 | -H-- | M] () – C:\Windows\System32\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-17 22:12:53 | 000,614,400 | RHS- | M] () – C:\Windows\toncxuvokdgpaxohfxpwfm.exe [2013-08-17 22:12:53 | 000,614,400 | RHS- | M] () – C:\Windows\pgbmdwtiapotatgvpd.exe [2013-08-17 22:12:53 | 000,614,400 | RHS- | M] () – C:\Windows\ngdqjeduofgnwrgxtjze.exe [2013-08-17 22:12:53 | 000,614,400 | RHS- | M] () – C:\Windows\gwqaqiesjxvzfxjxq.exe [2013-08-15 19:58:12 | 000,614,400 | RHS- | M] () – C:\Windows\System32\toncxuvokdgpaxohfxpwfm.exe [2013-08-15 19:58:12 | 000,614,400 | RHS- | M] () – C:\Windows\System32\ngdqjeduofgnwrgxtjze.exe [2013-08-15 19:58:12 | 000,614,400 | RHS- | M] () – C:\Windows\System32\gwqaqiesjxvzfxjxq.exe [2013-08-15 19:58:04 | 000,614,400 | RHS- | M] () – C:\Windows\System32\pgbmdwtiapotatgvpd.exe [2013-08-15 19:58:04 | 000,614,400 | RHS- | M] () – C:\Windows\System32\cwuicyyqldfnxtjbypgmu.exe [2013-08-14 08:02:06 | 000,573,440 | ---- | M] () – C:\Users\Kacper\Documents\dokumenty.exe [2013-08-14 08:02:04 | 000,573,440 | ---- | M] () – C:\Users\Kacper\Documents\Documents.exe [2013-08-14 07:59:09 | 000,573,440 | ---- | M] () – C:\Users\Kacper\Kacper.pif [2013-08-14 07:59:00 | 000,573,440 | ---- | M] () – C:\ProgramData\Users.exe [2013-08-14 07:59:00 | 000,573,440 | ---- | M] () – C:\ProgramData\Application Data.exe [2013-08-14 07:59:00 | 000,573,440 | ---- | M] () – C:\ProgramData\aplikacji.exe [2013-07-30 07:51:00 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Local\lokalne.scr [2013-07-30 07:50:45 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Roaming\aplikacji.exe [2013-07-30 07:50:38 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif [2013-07-30 07:50:21 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Roaming\Roaming.exe [2013-07-30 07:47:21 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Local\aplikacji.exe [2013-07-30 07:47:18 | 000,602,112 | ---- | M] () – C:\Users\Kacper\AppData\Local\Local.exe [2013-07-30 07:47:01 | 000,602,112 | ---- | M] () – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif [2013-07-30 07:46:42 | 000,602,112 | ---- | M] () – C:\Users\Public\Documents\Dokumenty.exe [2013-07-24 07:45:02 | 000,569,344 | ---- | C] () – C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programy.pif [2013-07-24 07:45:01 | 000,569,344 | ---- | C] () – C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs.pif [2013-07-24 07:41:33 | 000,569,344 | ---- | C] () – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Programy.pif [2013-07-24 07:41:32 | 000,569,344 | ---- | C] () – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Programs.pif :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

kacprosz · 17 Sierpień 2013 21:36

log z usuwania:

http://wklej.org/id/1110334/

nowe skanowanie:

http://wklej.org/id/1110346/

Atis · 17 Sierpień 2013 21:40

Może to jest jakiś wirus infekujący pliki wykonywalne.

Przeskanuj za pomocą Dr.Web CureIt

kacprosz · 17 Sierpień 2013 21:43

Możliwe, ale uciążliwe paskudztwo. Właśnie pobieram przeskanuje i dam znać. Dzięki za Pomoc

Atis · 17 Sierpień 2013 21:51

Przeskanuj jeden plik i podaj link do wyników:

https://www.virustotal.com/pl/

Kliknij Wybierz plik i do pola Nazwa pliku wklej ścieżkę, bo są ukryte i normalnie ich nie widać.

kacprosz · 17 Sierpień 2013 22:38

A więc tak, Dr.Web wykrył 36 zagrożeń wszystkie były typu Trojan Protect.Po zakończeniu skanowania wybrałem opcje usuń zagrożenia i niby skasował ale problem jest nadal. Nie mogę otworzyć strony którą mi podałeś, przeglądarka się zamyka( zarówno firefox jak i IE) masz jakiś pomysł?

Atis · 17 Sierpień 2013 22:52

Pewnie będziesz musiał formatować dysk.

Pokaż nowy log z OTL.

kacprosz · 18 Sierpień 2013 11:27

a jest możliwość formatowania dysku bez utraty danych, na komputerze mam bardzo ważne dane firmowe i nie mogę ich stracić,

http://wklej.org/id/1110542/

Atis · 18 Sierpień 2013 11:50

Uruchom system w trybie awaryjnym i wtedy wykonaj skrypt.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support2.kaspersky.com/pl/493#q1

Do okna Własne opcje skanowania / skrypt wklej:

:OTL O4 - HKLM…\Run: [cgomq] C:\Windows\System32\pgbmdwtiapotatgvpd.exe () O4 - HKLM…\Run: [ueswgsiqbjb] C:\Users\Kacper\AppData\Local\Temp\gwqaqiesjxvzfxjxq.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\Run: [cgomq] C:\Users\Kacper\AppData\Local\Temp\cwuicyyqldfnxtjbypgmu.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\Run: [pwhipylq] C:\Windows\System32\pgbmdwtiapotatgvpd.exe () O4 - HKLM…\RunOnce: [nsbafm] C:\Windows\System32\ngdqjeduofgnwrgxtjze.exe () O4 - HKLM…\RunOnce: [zivyhshoyf] C:\Users\Kacper\AppData\Local\Temp\zohqfwreuhehmdob.exe . () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\RunOnce: [goackuiox] C:\Windows\System32\gwqaqiesjxvzfxjxq.exe () O4 - HKU\S-1-5-21-2080738008-136213235-3544708513-1001…\RunOnce: [nsbafm] C:\Users\Kacper\AppData\Local\Temp\asoasmkatjjpxrfvqfu.exe . () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: agqqweq = zohqfwreuhehmdob.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: twda = C:\Users\Kacper\AppData\Local\Temp\pgbmdwtiapotatgvpd.exe () O32 - AutoRun File - [2013-08-18 00:30:07 | 000,000,798 | RHS- | M] () - C:\autorun.inf – [NTFS] [2013-08-17 23:47:19 | 000,000,000 | —D | C] – C:\Users\Kacper\Doctor Web [2013-08-18 13:25:37 | 000,000,280 | -H-- | M] () – C:\Windows\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-18 13:25:37 | 000,000,280 | -H-- | M] () – C:\Users\Kacper\AppData\Local\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-18 13:25:37 | 000,000,280 | -H-- | M] () – C:\Program Files\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-18 13:25:06 | 000,000,280 | -H-- | M] () – C:\Windows\System32\cgomqwginpbtnttvcdeumcuxmxb.hlr [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\zohqfwreuhehmdob.exe [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\toncxuvokdgpaxohfxpwfm.exe [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\pgbmdwtiapotatgvpd.exe [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\ngdqjeduofgnwrgxtjze.exe [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\gwqaqiesjxvzfxjxq.exe [2013-08-18 13:24:16 | 000,614,400 | RHS- | M] () – C:\Windows\cwuicyyqldfnxtjbypgmu.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\zohqfwreuhehmdob.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\toncxuvokdgpaxohfxpwfm.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\pgbmdwtiapotatgvpd.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\ngdqjeduofgnwrgxtjze.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\gwqaqiesjxvzfxjxq.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\cwuicyyqldfnxtjbypgmu.exe [2013-08-18 00:29:25 | 000,614,400 | RHS- | M] () – C:\Windows\System32\asoasmkatjjpxrfvqfu.exe [2013-08-18 00:14:10 | 000,614,400 | RHS- | M] () – C:\Windows\asoasmkatjjpxrfvqfu.exe [2013-07-14 19:25:10 | 000,004,248 | -H-- | C] () – C:\Users\Kacper\AppData\Local\zohqfwreuhehmdobtfrsvwznnjyrapgboerorw.yld [2013-07-14 19:23:09 | 000,000,280 | -H-- | C] () – C:\Users\Kacper\AppData\Local\cgomqwginpbtnttvcdeumcuxmxb.hlr :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

kacprosz · 18 Sierpień 2013 17:56

zrobiłem jak kazałeś:

log po usunięciu:http://wklej.org/id/1110904/

nowy log:http://wklej.org/id/1110908/

nadal po uruchomieniu komputera wyskakuje komunikat o oczekujących plikach na nagranie.Skróty tworzą się nadal we wszystkich folderach.

Atis · 18 Sierpień 2013 18:11

Nie ma żadnej zmiany, bo po restarcie wszystko wraca.

Wątpię żeby udało się usunąć bez formatowania.

Pobierz i uruchom BlitzBlank

Na karcie Script wklej:

DeleteFile: C:\Windows\System32\pgbmdwtiapotatgvpd.exe C:\Users\Kacper\AppData\Local\Temp\cwuicyyqldfnxtjbypgmu.exe C:\Users\Kacper\AppData\Local\Temp\ngdqjeduofgnwrgxtjze.exe C:\Windows\System32\ngdqjeduofgnwrgxtjze.exe C:\Windows\System32\zohqfwreuhehmdob.exe C:\Users\Kacper\AppData\Local\Temp\asoasmkatjjpxrfvqfu.exe C:\Windows\cgomqwginpbtnttvcdeumcuxmxb.hlr C:\Users\Kacper\AppData\Local\cgomqwginpbtnttvcdeumcuxmxb.hlr C:\Program Files\cgomqwginpbtnttvcdeumcuxmxb.hlr C:\Windows\zohqfwreuhehmdob.exe C:\Windows\toncxuvokdgpaxohfxpwfm.exe C:\Windows\pgbmdwtiapotatgvpd.exe C:\Windows\ngdqjeduofgnwrgxtjze.exe C:\Windows\gwqaqiesjxvzfxjxq.exe C:\Windows\cwuicyyqldfnxtjbypgmu.exe C:\Windows\asoasmkatjjpxrfvqfu.exe C:\Windows\System32\cgomqwginpbtnttvcdeumcuxmxb.hlr C:\Windows\zohqfwreuhehmdobtfrsvwznnjyrapgboerorw.yld C:\Windows\System32\zohqfwreuhehmdobtfrsvwznnjyrapgboerorw.yld C:\Users\Kacper\AppData\Local\zohqfwreuhehmdobtfrsvwznnjyrapgboerorw.yld C:\Program Files\zohqfwreuhehmdobtfrsvwznnjyrapgboerorw.yld C:\Windows\System32\toncxuvokdgpaxohfxpwfm.exe C:\Windows\System32\gwqaqiesjxvzfxjxq.exe C:\Windows\System32\cwuicyyqldfnxtjbypgmu.exe C:\Windows\System32\asoasmkatjjpxrfvqfu.exe

Kliknij Execute Now i zatwierdź restart komputera.

Jeżeli będzie jakiś błąd tu usuń linijkę wskazaną przez numer błędu.

Pokaż nowy log z OTL.

kacprosz · 18 Sierpień 2013 18:29

pobrałem, zrobiłem jak kazałeś. Program niby skasował ale nic nie dało. Chyba bez formata się nie obejdzie. Dzięki za pomoc Atis.

nowy log z OTL: http://wklej.org/id/1110924/

Atis · 18 Sierpień 2013 18:31

Nie ma żadnej zmiany.

Spróbuj jeszcze Kaspersky Virus Removal Tool lub KLIK

kacprosz · 19 Sierpień 2013 11:34

Nic nie pomaga, bez formatowania chyba się nie obejdzie. Wirus odporny na wszystko… Jeszcze raz Atis, dzięki za pomoc.