Siemka.Mam problem ponieważ koleżance zainfekowało tym kompa.Rozesłało wszystkim na facebook.Ja głupi wszedłem i otworzyłem.Teraz martwię się czy mój komp też nie został zainfekowany tym czymś.
Logi OTL:
Otl: http://wklej.org/id/409973/
Extras: http://wklej.org/id/409974/
jessica
(jessica)
31 Październik 2010 07:52
#2
[2010-10-29 11:51:47 | 000,000,000 | RHS- | C] () – C:$lsdrive$ [2010-10-29 11:51:47 | 000,000,000 | RHS- | C] () – C:$bootdrive$
Sprawdź te ukryte obiekty na --> JOTTI/ albo na VIRUSTOTAL .
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MsConfig - StartUpReg: ASRockIES - hkey= - key= - File not found MsConfig - StartUpReg: CTFMON.EXE - hkey= - key= - File not found MsConfig - StartUpReg: Steam - hkey= - key= - C:\Program Files\Steam\Steam.exe File not found [2010-10-31 07:55:21 | 000,000,308 | ---- | M] () – C:\WINDOWS\tasks\systems.job [2010-10-31 07:55:20 | 000,000,312 | ---- | M] () – C:\WINDOWS\tasks\fbagent.job [2010-10-30 12:09:52 | 000,175,104 | ---- | M] () – C:\Documents and Settings\Robert\Dane aplikacji\swiiw.exe [2010-10-30 12:09:52 | 000,065,536 | ---- | M] () – C:\Documents and Settings\Robert\Dane aplikacji\vyo.exe :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Raport po restarcie: http://wklej.org/id/409986/
Otl: http://wklej.org/id/409988/
A te pliki ukryte mają 0 bajtów i nie można było przeskanować
jessica
(jessica)
31 Październik 2010 08:33
#4
No tak, one rzeczywiście mają zerowy rozmiar. Zostawiamy je w spokoju.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
To wszystko.
jessi
@jessica abyś mogła jeszcze sprawdzić logi mojej koleżanki.Też ma to samo:
Otl: http://wklej.org/id/409990/
Extras : http://wklej.org/id/409991/
jessica
(jessica)
31 Październik 2010 08:55
#6
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MOD - [2010-07-29 08:37:51 | 000,045,134 | ---- | M] (MyWebSearch.com ) – C:\Program Files\MyWebSearch\bar\7.bin\MWSOESTB.DLL SRV - [2010-07-29 08:37:51 | 000,028,762 | ---- | M] (MyWebSearch.com ) [Auto | Stopped] – C:\Program Files\MyWebSearch\bar\7.bin\MWSSVC.EXE – (MyWebSearchService) IE - HKCU…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\7.bin\MWSSRCAS.DLL (MyWebSearch.com ) FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…browser.search.selectedEngine: “My Web Search” FF - prefs.js…extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js…extensions.enabledItems: toolbar@blinkx.com:1.0 FF - prefs.js…extensions.enabledItems: ShopperReports@ShopperReports.com:3.0.491.0 FF - prefs.js…extensions.enabledItems: {7FF99715-3016-4381-84CE-E4E4C9673020}:1.0 FF - prefs.js…keyword.URL: “http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRfox000&ptb=6gr8imFJdiYlim2mSJiTtw&psa=&ind=2010040901&ptnrS=GRfox000&si=&st=kwd&n=77ceca45&searchfor= ” FF - HKLM\software\mozilla\Firefox\extensions\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\7.bin [2010-07-29 08:37:54 | 000,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.491.0\firefox\firefoxtoolbar\extensions [2010-09-13 20:22:36 | 000,000,000 | —D | M] [2010-10-30 13:29:49 | 000,000,000 | —D | M] (Searchhub Toolbar) – C:\Documents and Settings\welwet\Dane aplikacji\Mozilla\Firefox\Profiles\mk4w91o7.default\extensions{699661f3-1e3b-4129-831b-cd5660cdc72e} [2010-09-27 20:37:29 | 000,000,000 | —D | M] (Searchqu Toolbar) – C:\Documents and Settings\welwet\Dane aplikacji\Mozilla\Firefox\Profiles\mk4w91o7.default\extensions{7FF99715-3016-4381-84CE-E4E4C9673020} [2010-10-11 20:41:00 | 000,010,017 | ---- | M] () – C:\Documents and Settings\welwet\Dane aplikacji\Mozilla\Firefox\Profiles\mk4w91o7.default\searchplugins\mywebsearch.xml [2010-04-12 13:01:50 | 000,005,495 | ---- | M] () – C:\Documents and Settings\welwet\Dane aplikacji\Mozilla\Firefox\Profiles\mk4w91o7.default\searchplugins\SearchquWebSearch.xml [2010-04-12 13:01:50 | 000,005,495 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\7.bin\MWSSRCAS.DLL (MyWebSearch.com ) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\7.bin\MWSBAR.DLL (MyWebSearch.com ) O2 - BHO: (ShopperReports) - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - C:\Program Files\ShopperReports3\bin\3.0.491.0\ShopperReports.dll (SmartShopper Inc.) O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll () O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\7.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKLM…\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll () O3 - HKCU…\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\7.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files\MyWebSearch\bar\7.bin\M3SRCHMN.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\7.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe File not found O4 - HKCU…\Run: [bitComet] D:\Program Files\BitComet\BitComet.exe File not found O4 - HKCU…\Run: [blinkx_toolbar] C:\Program Files\blinkx Remote Toolbar\the_blinkx_toolbar.exe () O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\7.bin\MWSOEMON.EXE (MyWebSearch.com ) O2 - BHO: (The blinkx Toolbar) - {0069B690-7A2B-41C5-98CA-9F535B4C8532} - C:\Program Files\blinkx Remote Toolbar\the_blinkx_bho.dll () O9 - Extra Button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.491.0\ShopperReports.dll (SmartShopper Inc.) O9 - Extra Button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.491.0\ShopperReports.dll (SmartShopper Inc.) O20 - AppInit_DLLs: (c:\progra~1\wi9130~1\datamngr\datamngr.dll) - c:\Program Files\Windows Searchqu Toolbar\DataMngr\datamngr.dll (iMesh, Inc) [2010-10-31 09:19:00 | 000,000,312 | ---- | M] () – C:\WINDOWS\tasks\systems.job [2010-10-31 09:18:58 | 000,000,308 | ---- | M] () – C:\WINDOWS\tasks\fbagent.job [2010-10-30 10:31:21 | 000,175,104 | ---- | M] () – C:\Documents and Settings\welwet\Dane aplikacji\eib.exe [2010-10-30 10:31:21 | 000,065,536 | ---- | M] () – C:\Documents and Settings\welwet\Dane aplikacji\ophyx.exe :Files C:\Program Files\MyWebSearch C:\Program Files\blinkx Remote Toolbar c:\Program Files\Windows Searchqu Toolbar :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Z tym, że ja już dziś tego nie sprawdzę, bo nie będzie mnie na Forum.
EDIT:
Z pośpiechu za dużo dałam do usuwania .
Z Kwarantanny C:_OTL wyciągnij i wstaw do właściwych lokalizacji pliki:
C:\Program Files\Common Files\Ahead\Lib\ NeroCheck.exe
C:\Program Files\Nero\Nero 7\InCD\ NBHGui.exe
D:\Program Files\Ares\ Ares.exe
Jeśli w ich nazwach będą przyrostki *.vir, to usuń te przyrostki.
Potem:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ares"="D:\Program Files\Ares\Ares.exe"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
jessi