Problem z menedżerem urządzeń po infekcji

marcin5565 · 14 Październik 2012 15:57

Witam.

Udało mi się dziś(przynajmniej tak myślę) zainfekować laptopa. Przeglądając strony ujrzałem pełnoekranową informację że mój komputer został zablokowany przez policję z powodu łamania prawa, wypisana lista wykroczeń ale za kod na 200zł umorzą sprawę bla bla bla… co trochę mnie rozśmieszyło.

Do rzeczy uruchomiłem skanowanie avastem podczas uruchamiania systemu, wykrył tylko jedną infekcję którą usunąłem. Informacja o blokadzie już się nie pojawia, avast nic nie znajduje, ale zauważyłem że menedżer urządzeń wyłącza się zaraz po uruchomieniu… i tu się zastanawiam czy jeszcze coś mi nie siedzi w systemie.

otl.txt: http://www.wklej.org/id/847249/

extras.txt: http://www.wklej.org/id/847252/

Atis · 14 Październik 2012 16:06

W panelu sterowanie odinstaluj:

Spybot - Search & Destroy

Auslogics Toolbar

Auslogics Toolbar Updater

Windows Live Toolbar

DAEMON Tools Toolbar

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV:64bit: - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\msi\msi Software Install\MGHwCtrl.sys – (MGHwCtrl) [2011/04/25 14:16:43 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\137437bz.default\extensions\engine@conduit.com [2012/06/20 15:35:42 | 000,000,000 | —D | M] (Auslogics Toolbar) – C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\137437bz.default\extensions\toolbar@ask.com [2011/01/12 20:17:58 | 000,002,567 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\askcom.xml [2011/04/20 11:55:40 | 000,000,921 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\conduit.xml [2010/12/10 21:03:27 | 000,002,059 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\137437bz.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) [2012/10/14 12:16:12 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:13 | 000,000,826 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk [2012/10/14 12:16:12 | 083,023,306 | ---- | C] () – C:\ProgramData\reweivmaet.pad :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Acorus · 14 Październik 2012 16:17

Odinstaluj Spybot - Search & Destroy,DAEMON Tools Toolbar.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-21-2799195156-4223990538-973928927-1000…\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) [2012/10/14 12:16:12 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:13 | 000,000,826 | ---- | M] () – C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk [2012/10/14 12:16:12 | 000,044,544 | ---- | M] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012/10/14 12:16:12 | 083,023,306 | ---- | C] () – C:\ProgramData\reweivmaet.pad [2011/10/20 09:48:48 | 000,000,204 | ---- | C] () – C:\windows\SysWow64\secustat.dat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

marcin5565 · 14 Październik 2012 17:09

Wykonałem to co podał Acorus.

log z usuwania: http://www.wklej.org/id/847287/

nowy log: http://www.wklej.org/id/847295/

To wszystko? Czy jeszcze coś robić? Menedżer zadań już się nie zamyka, dzięki za pomoc

Jeszcze jedno pytanie. Obecnie korzystam z Avasta, mam możliwość korzystania z Arcavira. który z tych dwóch jest lepszy?

Acorus · 15 Październik 2012 07:59

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

Zostań przy Avaście.

marcin5565 · 15 Październik 2012 19:56

log po wykonaniu skryptu: http://www.wklej.org/id/848096/

wyczyściłem punkty przywracania

Acorus · 16 Październik 2012 07:29

Aktualizacja Int.Exp. do wersji 9.Odinstaluj starą Javę i zainstaluj najnowszą Java http://www.oracle.com/technetwork/java/ … 37588.html

Odinstaluj Adobe Flash Player 10

Aktualizacja Adobe Readera.

marcin5565 · 16 Październik 2012 10:43

zrobiłem to już wczoraj tylko miałem problemy z internetem