Metropolitan Virus

Skoro admin kazał, to zakładam wątek.

Natrafiłam na jeden wątek, miałam nadzieję, że dam sama radę, ale niestety nie.

Utkwiłam na poziomie stworzenia raportów w OTL.

Co dalej?

Dodane 01.04.2012 (N) 19:19

http://wklej.org/id/722494/

W panelu sterowania odinstaluj wszystkie śmieci:

Winamp Toolbar, MediaBar, My Global Search, Funmoods Toolbar, Ask Toolbar, Akamai NetSession Interface

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{17AB842F-0899-4E6B-8AD0-2C128B540286}: "URL" = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\..\SearchScopes\{EFBD286D-E8CB-4FED-9A55-2BAD62B116D6}: "URL" = http://www.google.pl/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-4064484620-493444553-2221323067-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421

FF - prefs.js..browser.search.defaultenginename: "Search"

FF - prefs.js..browser.search.selectedEngine: "Search"

FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=ironto"

FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0

[2011-03-13 14:49:23 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\42g52dbe.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}

[2012-04-01 16:23:19 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\42g52dbe.default\extensions\ffxtlbr@funmoods.com

[2011-12-27 00:26:10 | 000,002,354 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Mozilla\Firefox\Profiles\42g52dbe.default\searchplugins\aol-web-search.xml

[2012-04-01 16:23:18 | 000,001,800 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Mozilla\Firefox\Profiles\42g52dbe.default\searchplugins\funmoods.xml

[2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml

O4 - HKLM..\Run: [hpqSRMon] File not found

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [MozillaPlugins] C:\Users\Asia\AppData\Roaming\AC9C63.exe ()

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [NVIDIA driver monitor] c:\users\public\nvsvc32.exe File not found

O4 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001..\Run: [Windows Security Service] c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fixer32.exe (RqRdkHEFF)

F3 - HKU\S-1-5-21-4064484620-493444553-2221323067-1001 WinNT: Load - (C:\Users\Asia\LOCALS~1\Temp\msjvsx.cmd) - C:\Users\Asia\LOCALS~1\Temp\msjvsx.cmd ()

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found

O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe File not found

O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe File not found

[2012-04-01 19:10:53 | 000,000,869 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\84EC.tmp.lnk

[2012-04-01 19:10:11 | 000,000,871 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ch8l0.exe.lnk


:Files

RECYCLER /alldrives


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Jest jeden mały problem. Właśnie wylogowało mnie z mojego konta, weszłam na drugie, które działa poprawnie. Wszystko, co tam zrobiłam utraciłam…

Nie wiem co utraciłaś?

Dlaczego nie można się zalogować na to konto?

Nie mam pojęcia. Od momentu kiedy pojawił się ten wirus na ekranie głównym działał internet i wykonywałam te polecenia ściągnięcia OTL i skanowania. Potem przez chwilę nie robiłam nic i zniknęło wszystko. JAk się teraz próbowałam zalogować pojawia się czarny ekran i nic więcej.

Spróbuj zalogować się na to konto w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

Dobra, udało się zalogować. Wykonuję skrypt mając otwartą tą stronę. Wszystko inne zniknęło.

P.S. Wybacz, jestem totalnym żółtodziobem jeśli chodzi o komputery :wink:

Jak możesz mieć otwartą stronę skoro komputer zostanie zrestartowany.

Skopiuj dokładnie ten skrypt i kliknij Zaznacz cały

http://wklej.org/id/722538/

To jest już to?

Dodane 01.04.2012 (N) 20:04

Tak też zrobiłam. Ja na razie coś się robi, a komputer się nie zrestartował. Coś tam w tym OTL-u pracuje intensywnie od paru minut…

Poczekaj kilka minut i jeśli nic się nie zmieni to ręcznie zrestartuj komputer.

Po restarcie utwórz nowy log klikając Skanuj.

jak na razie OTL coś robi… Ale od paru minut… Zaznaczyłam poprzednim razem cały i skopiowałam dokładnie i kliknęłam wykonaj skrypt. Mam przerwać pracę OTL i zrobić to jeszcze raz?

Zrestartuj komputer i utwórz nowy log.

Takie trojany najlepiej usuwać w trybie awaryjnym.

Spróbuj uruchomić tryb awaryjny z obsługą sieci.

Dzisiejszy skan

OTL: http://wklej.org/id/722971/

Extras: http://wklej.org/id/722973/

Odinstaluj AutocompletePro,McAfee Security Scan Plus,My Global Search Bar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete.

Pokaż nowy log OTL.txt i log z AdwCleaner.

Po restarcie komputera otwarł się taki plik w notatniku:

http://wklej.org/id/723002/

Dodane 02.04.2012 (Pn) 15:23

AdwCleaner: http://wklej.org/id/723004/

Pokaż nowy OTL.txt z funkcji Scanuj.

no i OTL: http://wklej.org/id/723013/

Czy to już wszystko? Pozbyłam się tego wirusa?

W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

Malware: http://wklej.org/id/723047/

Dodane 02.04.2012 (Pn) 16:21

Mam to po prostu usunąć? Przepraszam, ale kompletnie się na tym nie znam :slight_smile:

Wszystko do usunięcia.