Fedrix
21 Lipiec 2012 19:51
#1
Wirus ostatnio bardzo popularny, utrudniający życie wielu osobom nie ominął także mnie. Ten lewy antywirus uniemożliwia mi normalne korzystanie z komputera. Nie można otworzyć Firefoxa, Internet Explorer działa, ale odczytuje tylko strony Microsoftu. Cały czas wyskakuje mi tylko okienko ze skanowaniem i napis, że znaleziono 38 wirusów, po czym przekierowuje mnie na stronę gdzie za kilkadziesiąt dolarów można kupić pełną wersję. Najśmieszniejsze jest to, że nawet nie wiem, kiedy to się pojawiło na moim komputerze, bowiem wyskoczyło dopiero dzisiaj. Spodziewam się także, że będzie o wiele więcej wirusów i problemów, niż tylko ten wyżej wymieniony. Już kiedyś spandaupol mi pomagał, ale po kilku ‘akcjach’ komputer zaczął się dobrze sprawować i popełniłem największy błąd - zrezygnowałem z dalszego leczenia komputera. Mógłbym co prawda formatować komputer, ale chcę powalczyć i mam nadzieję, że mi w tym pomożecie.
Logi z OTL :
http://www.wklej.org/id/795157/
Mam jeszcze pytanie, użyć do tego programu Trojan Killer, bo kilka osób wspominało, że używali go przy tego typu wirusach, ale czytając recenzje nie jestem do niego przekonany?
Atis
21 Lipiec 2012 20:10
#2
Odinstaluj:
Media Finder
Yontoo
SweetPacks Toolbar for Internet Explorer
Giant Savings
Babylon Toolbar
McAfee Security Scan
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Disabled | Stopped] – C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe – (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\secdrv.sys – (Secdrv) DRV - File not found [File_System | System | Stopped] – system32\DRIVERS\mrxsmb.sys – (MRxSmb) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HPZipr12.sys – (HPZipr12) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10011&barid={5357EA8C-B8B5-11E1-A936-00148565DA3E} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={5357EA8C-B8B5-11E1-A936-00148565DA3E} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=113480 … fff6c93506 IE - HKCU…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^AAU&apn_dtid=^YYYYYY^YY^PL&apn_uid=43D8144F-7229-411D-81E1-C6BB1C232CE9&apn_sauid=3EF692FE-8F47-4AA7-A3E4-FFFBECA0961B IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703 IE - HKCU…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={5357EA8C-B8B5-11E1-A936-00148565DA3E} FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaultthis.engineName: “4shared.com Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=ec639fed00000000000000fff6c93506&q= ” [2012-06-28 18:02:23 | 000,002,576 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\askcom.xml [2012-04-30 11:36:46 | 000,000,925 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\conduit.xml [2012-05-05 15:24:30 | 000,002,060 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\softonic.xml [2012-06-17 22:11:13 | 000,004,030 | ---- | M] () – C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\hmg6u948.default\searchplugins\sweetim.xml [2012-06-22 22:22:51 | 000,000,000 | —D | M] (No name found) – C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2012-06-22 22:22:40 | 000,002,352 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU…\Run: [Windows] C:\windows\System32\window.exe () O4 - HKCU…\RunOnce: [6F63A59F000CE5081CA1EC204A174311] C:\Documents and Settings\All Users\Dane aplikacji\6F63A59F000CE5081CA1EC204A174311\6F63A59F000CE5081CA1EC204A174311.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\20Dollars2Surf.lnk = File not found O32 - AutoRun File - [2008-09-03 13:27:07 | 000,000,141 | ---- | M] () - D:\autorun.inf – [NTFS] [2012-07-19 22:29:46 | 000,000,000 | -HSD | C] – C:\found.000 [2012-06-22 22:22:55 | 000,001,634 | ---- | M] () – C:\user.js :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A59F000CE5081CA1EC204A174311 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Fedrix
22 Lipiec 2012 09:54
#3
Atis:
Odinstaluj:
Media Finder - zrobione
Yontoo - zrobione
SweetPacks Toolbar for Internet Explorer - nie mogę znaleźć w aplecie Dodaj lub usuń programy
Giant Savings - zrobione
Babylon Toolbar - nie mogę znaleźć w aplecie Dodaj lub usuń programy
McAfee Security Scan - zrobione
Raport z usuwania:
http://www.wklej.org/id/795479/
Nowy log OTL:
http://www.wklej.org/id/795481/
Atis
22 Lipiec 2012 10:04
#4
Wygląda na to, że masz zainfekowany jeden plik systemowy.
Wszystko przez dodatki do gry Tibia.
Czy masz płytę z Windows żeby użyć konsoli odzyskiwania do podmiany pliku?
Uruchom OTL i kliknij Nic
Teraz wklej i kliknij Skanuj:
Pokaż ten log.
Fedrix
22 Lipiec 2012 10:39
#5
Oto log:
http://www.wklej.org/id/795499/
Obawiam się, że w tej chwili nie mam płyty z Windowsem, ponieważ jakiś miesiąc temu pożyczyłem go kuzynowi, który mieszka w Anglii i wcześniej jak za 2 miesiące nie wróci
Atis
22 Lipiec 2012 11:07
#6
Dopiero teraz przeczytałem stary temat.
Przecież ten plik jest zainfekowany od kilku miesięcy.
zawieszajacy-sie-system-t486005-15.html
Uruchom system w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
Wklej do OTL i kliknij Wykonaj skrypt:
Uruchom OTL i kliknij Nic
Wlej i kliknij Skanuj:
Pokaż ten log.
Fedrix
22 Lipiec 2012 12:13
#7
No wstyd się przyznać, ale prawda taka, że odtąd co mi spandaupol pomagał, pomyślałem sobie, że system chodzi w miarę ok i zostawię jak jest. Był to mój najgłupszy błąd.
Raport z usuwania:
http://www.wklej.org/id/795557/
Log:
http://www.wklej.org/id/795558/
Atis
22 Lipiec 2012 12:34
#8
OTL nie podmienił pliku i dodatkowo wyparowała z dysku prawidłowa kopia tego pliku.
Pobierz ten plik zgodny z XP SP2 i zapisz bezpośrednio na partycji systemowej C:
C:\ws2_32.dll
http://sendfile.pl/191032/ws2_32.dll
Pobierz i uruchom The Avenger
Do okna programu wklej:
Kliknij w Execute i zatwierdź restart.
Uruchom OTL i kliknij Nic
Wlej i kliknij Skanuj:
Pokaż ten log.
Fedrix
22 Lipiec 2012 12:57
#9
Oto log:
http://www.wklej.org/id/795583/
Dodatkowo mam taką prośbę. Otóż pojawiają mi się te dwa komunikaty zaraz po włączeniu komputera i chciałbym się ich pozbyć, a nie bardzo wiem jak.
http://i49.tinypic.com/lgxew.jpg
http://i45.tinypic.com/j7zxic.png
Atis
22 Lipiec 2012 13:13
#10
Odinstaluj programy do których odnoszą się komunikaty, bo widocznie są uszkodzone.
Później możesz ponownie zainstalować
W autostarcie widać MagicDisc i TechTracker
O4 - Startup: C:\Documents and Settings\test\Menu Start\Programy\Autostart\CNET TechTracker.lnk = C:\Documents and Settings\test\Dane aplikacji\CBS Interactive\CNET TechTracker\TechTracker.exe () O4 - Startup: C:\Documents and Settings\test\Menu Start\Programy\Autostart\MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe (MagicISO, Inc.)
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\test\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll () O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKCU…\Run: [Media Finder] “C:\Program Files\Media Finder\Media Finder.exe” /opentotray File not found [2012-07-21 20:17:34 | 000,000,000 | —D | C] – C:\Documents and Settings\test\Menu Start\Programy\Live Security Platinum :Files C:\Avenger C:\WINDOWS\system32\spdg.dll C:\Documents and Settings\test\Dane aplikacji\Media Finder :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Fedrix
22 Lipiec 2012 13:54
#11
Raport z usuwania:
http://www.wklej.org/id/795613/
Log ze skanowania:
http://www.wklej.org/id/795614/
Dorzucam jeszcze log z poprzedniej akcji Avengera, gdyby był potrzebny:
http://www.wklej.org/id/795617/
Komunikaty już nie wyskakują - dzięki
Atis
22 Lipiec 2012 14:05
#12
Wklej i kliknij wykonaj skrypt:
:OTL IE - HKCU…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found O4 - HKLM…\RunOnce: [Cleanup] C:\cleanup.exe () O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found [2012-07-22 14:48:09 | 000,135,168 | ---- | M] () – C:\zip.exe [2012-07-22 14:48:09 | 000,019,286 | ---- | M] () – C:\cleanup.exe [2012-07-22 14:48:09 | 000,000,574 | ---- | M] () – C:\cleanup.bat
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Fedrix
22 Lipiec 2012 14:32
#13
Byłbym bardzo wdzięczny gdybyś mi wymienił te programy ‘out of date’ bo co prawda widzę nazwy, ale się na tym za bardzo nie znam i boję się, że coś przeoczę.
– Dodane 22.07.2012 (N) 16:42 –
Jeszcze jedna sprawa. Instalując Malwarebytes-AntiMalware uważnie się rozglądałem, ale nigdzie nie zauważyłem opcji Odrzuć
Atis
22 Lipiec 2012 15:21
#14
Pod koniec instalacji lub podczas pierwszego uruchomienia:
http://wstaw.org/m/2012/07/11/2012-05-11_221612.png
W panelu sterowania odinstaluj:
JavaFX 2.1.0
Java 6 Update 20
Java 7 Update 4
Adobe Flash Player 10
Adobe Reader 9
Później zainstaluj:
Service Pack 3
IE - Internet Explorer 8 (XP)
Java
Adobe Reader
Flash Player
Fedrix
22 Lipiec 2012 16:00
#15
Jeszcze mi ten komunikat o dziwo nie wyskoczył.
Log ze skanowania Malwarebytes-AntiMalware:
http://www.wklej.org/id/795709/
Atis
22 Lipiec 2012 16:10
#16
Skoro usunięte to na tym koniec.
Fedrix
22 Lipiec 2012 17:06
#17
Wszystkie programy zostały pomyślnie zaktualizowane, poza jednym. Gdy chcę zaktualizować ServicePack 3, tak jak jest pokazane, na stronie wyskakuje mi ten oto błąd:
http://i47.tinypic.com/11t3acj.png
Atis
22 Lipiec 2012 17:24
#18
Fedrix
22 Lipiec 2012 17:27
#19
Mam jeszcze taką jedną prośbę na koniec. Otóż dość często mam wrażenie, że jakieś programy spowalniają pracę mojego procesora, przez co dawniej (nie wiem jak jest teraz, jeszcze nie sprawdzałem) w grach miałem wysokie pingi, strony się powoli ładowały itd. Czy jesteś w stanie sprawdzić, czy moje przypuszczenia mają podstawę, a jeśli tak to, które procesy jak wyłączyć, lub co usunąć żeby się nie pojawiały. Byłbym bardzo wdzięczny. Oto one:
http://i49.tinypic.com/jiz59f.png
Atis
22 Lipiec 2012 18:14
#20
