gonzoou
(Gonzoou)
25 Październik 2013 22:16
#1
Witam, komputer został czymś zainfekowany i pojawia się co jakiś czas jakaś dziwna zielona strona, z napisami w nieznanym mi języku. Do tego odczułem ogólne spowolnienie komputera. Proszę o sprawdzenie loga i porady!
log OTL: http://wklejto.pl/178476
extras: http://wklejto.pl/178477
Pozdrawiam
Atis
(Atis)
25 Październik 2013 22:28
#2
Jeżeli nie masz aktualnej licencji to odinstaluj stary Trend Micro Titanium Internet Security.
Odinstaluj Update for Zip Opener.
Uruchom system w trybie awaryjnym i wtedy wykonaj skrypt.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support2.kaspersky.com/pl/493#q1
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV:64bit: - File not found [On_Demand | Stopped] – C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe – (Amsp) DRV:64bit: - [2013-01-10 21:19:32 | 000,030,568 | ---- | M] (AVG Technologies) [Kernel | System | Running] – C:\Windows\SysNative\drivers\avgtpx64.sys – (avgtp) [2012-12-12 18:07:49 | 000,213,444 | ---- | M] () (No name found) – C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\0\extensions\torntv@torntv.com.xpi [2013-04-11 17:54:38 | 000,197,614 | ---- | M] () (No name found) – C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\extensions\ftdownloader3@ftdownloader.com.xpi O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-703970065-3050351753-67648752-1001…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4:64bit: - HKLM…\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM…\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe () O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\S-1-5-21-703970065-3050351753-67648752-1001…\Run: [MSConfig] “C:\Users\user\qyas.exe” File not found O4 - HKU\S-1-5-21-703970065-3050351753-67648752-1001…\Run: [Tok-Cirrhatus] C:\Users\user\AppData\Local\smss.exe () O4 - HKU.DEFAULT…\RunOnce: [sPReview] “C:\Windows\System32\SPReview\SPReview.exe” /sp:1 /errorfwlink:“http://go.microsoft.com/fwlink/?LinkID=122915 ” /build:7601 File not found O4 - HKU\S-1-5-18…\RunOnce: [sPReview] “C:\Windows\System32\SPReview\SPReview.exe” /sp:1 /errorfwlink:“http://go.microsoft.com/fwlink/?LinkID=122915 ” /build:7601 File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () F3:64bit: - HKU\S-1-5-21-703970065-3050351753-67648752-1001 WinNT: Load - (C:\Users\user\LOCALS~1\Temp\ccevfcaa.scr) - C:\Users\user\LOCALS~1\Temp\ccevfcaa.scr (Hause) F3 - HKU\S-1-5-21-703970065-3050351753-67648752-1001 WinNT: Load - (C:\Users\user\LOCALS~1\Temp\ccevfcaa.scr) - C:\Users\user\LOCALS~1\Temp\ccevfcaa.scr (Hause) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 14978 = C:\PROGRA~3\LOCALS~1\Temp\ccquyrea.exe (Hause) O7 - HKU\S-1-5-21-703970065-3050351753-67648752-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-703970065-3050351753-67648752-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\Windows\eksplorasi.exe”) - C:\Windows\eksplorasi.exe () [2013-10-25 19:37:00 | 000,000,288 | ---- | M] () – C:\Windows\tasks\DigitalSite.job :Files C:\Users\user\AppData\Local*.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“explorer.exe” :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.