Wirus " 86husiji3w.exe "

Imunactiv · 13 Marzec 2012 19:08

Witam… Od paru dni męczy mnie szybkość internetu. Zajrzałem w procesy, wszystko wporzo, ale na końcu listy widniał proces " 86husiji3w.exe ". Nie ściągam ŻADNYCH torrentów, muzykę pobieram z zaufanej strony, programów ostatnio nie pobierałem… Przez niego nie mogę zainstalować Kasperskyego 2012 ani Kaspersky Virus Remove Tools. SpyBot nie daje rady usunąć tego pliku (ścieżkę znam) jakieś pomysły ? Tryb awaryjny cuś nie działa ( kreska miga w lewym górnym roku i tyle )

jasio96 · 13 Marzec 2012 19:11

Daj log z OTL

Imunactiv · 13 Marzec 2012 19:16

Extras

http://wklej.to/VVIcp

OTL

http://wklej.to/NWSfw

Acorus · 13 Marzec 2012 19:27

Odinstaluj Spybot - Search & Destroy,HyperCam Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL SRV - File not found [Disabled | Stopped] – -- (FileZilla Server) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\HyperCam Toolbar\tbcore3.dll () O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKCU…\Run: [{EE9F84CD-6283-AD41-03BD-110C3194321E}] C:\Documents and Settings\prv\Dane aplikacji\Egfuip\nyekr.exe (2q3wet Corporation) O4 - HKCU…\Run: [86husiji3w] C:\Documents and Settings\prv\86husiji3w.exe () @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\wuauclt.exe:SummaryInformation @Alternate Data Stream - 141 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF @Alternate Data Stream - 138 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:07BF512B @Alternate Data Stream - 134 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:671329E4 :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Imunactiv · 13 Marzec 2012 20:17

86husiji3w.exe podejrzanie zniknął(z listy procesów, plik dalej na dysku siedzi), natomiast wywala mi powiadomienie o braku antyvira i auto aktualki (proces wscntfy.exe). Mam je włączone

Raport po restarcie:

http://wklej.to/VvxJ8

Nowy log:

http://wklej.to/2VGmr

jasio96 · 14 Marzec 2012 06:34

Wykonaj log

Pełny skan Malwarebytes Anti-Malware, usuwasz co znajdzie, dajesz raport na forum.

Imunactiv · 14 Marzec 2012 13:51

log OTL:

spandaupol · 14 Marzec 2012 13:53

Ostatni skrypt był błędny, nie chodzi o to co było usuwane ale o to w jaki sposób. Proszę wykonać zalecony skan Malwarebytes i zaprezentować raport na forum, bo to co miało zostać usunięte to nie jest wszystko.

Imunactiv · 14 Marzec 2012 14:15

Dam w Edicie raport z Malwarebytes, zaznaczylem tylko dysk C bo na E i D mam gry oryginalne z płyt więc wątpie aby cos tam bylo

– Dodane 14.03.2012 (Śr) 15:37 –

http://wklej.to/nuhZ7

spandaupol · 15 Marzec 2012 08:33

Uruchom OTL klikasz Skanuj pokaż nowe raporty na forum

Imunactiv · 15 Marzec 2012 19:36

Przepraszam za opóźnioną rekację, tu LOG :

http://wklej.to/Rsuwr

jasio96 · 15 Marzec 2012 19:52

:OTL

IE - HKCU\..\SearchScopes\{00015CD2-5EB1-4141-9B72-FC74E586A143}: "URL" = http://searchrise.com?q={searchTerms}&ib=&hl=pl

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"

O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.

O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found

O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found

Wykonaj log

Przeskanuj C:\WINDOWS\System32\drivers\26c1e8bc8122bea7.sys na virustotal.com i daj wynik.

Imunactiv · 16 Marzec 2012 20:00

http://wklej.to/mfYVJ

– Dodane 17.03.2012 (So) 8:19 –

Tego pliczku nie mogę zeskanować

spandaupol · 17 Marzec 2012 08:25

Ten pliczek wygląda na rootkita dlatego proszę uruchomić ponownie OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum

Imunactiv · 18 Marzec 2012 10:41

http://wklej.to/ymQoP

spandaupol · 18 Marzec 2012 15:20

Odinstaluj przestarzałego Spybota

Jeśli Kasperski i Norton to pozostałości to proszę odinstalować te programy (lub ten którego nie używasz)

Odinstaluj pozostałości po Kasperskim. Użyj do tego kavremover.exe http://support.kaspersky.com/faq/?qid=208279463

Po Nortonie http://www.dobreprogramy.pl/Norton-Remo … 12812.html

Wiesz co to za plik C:\ aolconnfix.exe?

Pokaż raport Kasperski TDSSKiller zobaczymy czy go wykryje instrukcja [Instrukcja](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz Skip i zaprezentuj raport na forum

Imunactiv · 18 Marzec 2012 20:40

OTL

http://wklej.to/qHDGJ

TDSSKiller nic nie wykrył, skanował pół sekundy, tak ma być ? Raport z TDSSK

http://wklej.to/PvjVu

spandaupol · 19 Marzec 2012 08:30

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Do usunięcia tego

File not found – E:\Documents and Settings\prv\Moje dokumenty\NormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalna.rar File not found – C:\Documents and Settings\prv\NormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalnaNazwaNormalna.rar File not found – E:\Documents and Settings\prv\Moje dokumenty\0932sfk cnvioeurdkwiytgnf834pquiowejrrgemdnwr8709h23897qweuioryhdfuwesjbf8weuiaoshnuifojkg4wehantuifojk4whentuoyghbji9vfu knj8ftgcu hvbnjhp0f8tu hvbiuh978thbiu9yt076rf7t5cugvhbiju978f6dtcuhvbygt76rfhvbuh76d5tcry hvbgtrf59drcuyvhb.rar File not found – C:\Documents and Settings\prv\0932sfk cnvioeurdkwiytgnf834pquiowejrrgemdnwr8709h23897qweuioryhdfuwesjbf8weuiaoshnuifojkg4wehantuifojk4whentuoyghbji9vfu knj8ftgcu hvbnjhp0f8tu hvbiuh978thbiu9yt076rf7t5cugvhbiju978f6dtcuhvbygt76rfhvbuh76d5tcry hvbgtrf59drcuyvhb.rar

użyj DeleteFXP Files http://delete-fxp-files.soft32.com/

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Imunactiv · 19 Marzec 2012 12:46

http://wklej.to/5r9Po

DeleteFXP nie działa, bo ściąga mi pliki do dokumentów na C a ja je przeniosłem na E i nie chce się uruchomić

– Dodane 19.03.2012 (Pn) 13:47 –

http://wklej.to/FfvDc

spandaupol · 19 Marzec 2012 13:20

Popraw mnie jeśli źle zrozumiałem

Uruchom FF - Narzędzia - Opcje - Ogólne - Pobrane pliki zapisuj do

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKLM…\SearchScopes\Yandex: “URL” = http://yandex.ru/yandsearch?clid=48572&text={searchTerms} IE - HKU\S-1-5-21-839522115-1960408961-2147293891-1003…\SearchScopes\Yandex: “URL” = http://yandex.ru/yandsearch?clid=48572&text={searchTerms} FF - prefs.js…keyword.URL: “http://yandex.ru/yandsearch?clid=123290&yasoft=barff.en&text=” FF - prefs.js…browser.search.defaultenginename: “ĐŻĐ˝Đ´ĐµĐşŃ” [2012-03-13 21:03:56 | 000,133,208 | ---- | C] (Kaspersky Lab ZAO) – C:\WINDOWS\System32\drivers\45534613.sys [2012-03-18 21:39:28 | 002,063,920 | ---- | C] (Kaspersky Lab ZAO) – C:\Documents and Settings\prv\Pulpit\tdsskiller.exe DRV - [2012-03-13 21:11:36 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Stopped] – C:\WINDOWS\system32\drivers\45534613.sys – (45534613) :Commands [emptytemp] [resethosts]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.