Wirus blokuje dostęp do programów antywirusowych

buukmacher · 25 Czerwiec 2014 22:26

Mam problem z pewnym wirusem, który zawzięcie blokuje mi dostęp do wszelakich antywirusów; próbowałem combofixa, malware anty malware, avg mialem to od razy wylaczylo i nie da sie uruchomic. Pierwsza myśl tryb awaryjny i combofix, a gdzie tam wyskakuje natomiast “System Windows nie może odnaleźć pliku D:\Combofix.exe…”.

Screen z menedżera zadań:

http://zapodaj.net/4c12b9338819b.png.html

http://zapodaj.net/fdf16d1b4636a.png.html

Przypuszczam, że ma to związek z procesem “godMi.exe”, bo pierwszy raz widze coś takiego i po próbie zamkniecia tego procesu wywaliło mi bluescreen’a :/. Dodam również, że kiedy próbuje uruchomić ponownie komputer albo zamknać to też wywala mi bluscreeny i uruchamia ponownie kompa, tylko po wyłaczeniu windowsa przez tryb awaryjny normalnie wylaczylem komputer.

Wiem, że istnieje możliwość przeskanowania dysku z pomocą innego kompa do którego podpinam swój dysk, ale nie mam narazie takiej możliwosci, więc prosze o pomoc.

Atis · 25 Czerwiec 2014 22:39

Przeczytaj sobie przypięty temat, bo tak jest napisane jakie logi są wymagane.

Skoro używasz ComboFix to znaczy, że jesteś zaawansowanym użytkownikiem i nie potrzebujesz pomocy.

buukmacher · 25 Czerwiec 2014 22:54

Extras: http://www.wklej.org/id/1402200/

OTL: http://www.wklej.org/id/1402201/

Atis · 25 Czerwiec 2014 23:01

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-310787281-1859802783-3887984348-1000..\RunOnce: [yHdkfQCjv] C:\Users\Konrad\yHdkfQCjv\godMi.exe ()
O7 - HKU\S-1-5-21-310787281-1859802783-3887984348-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O27:64bit: - HKLM IFEO\AvastSvc.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\AvastUI.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avcenter.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avconfig.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avgnt.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avguard.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avp.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\avscan.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\bdagent.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\blindman.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\ccuac.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\ComboFix.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\egui.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\hijackthis.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\instup.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\keyscrambler.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\loggingserver.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\mbam.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\mbamgui.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\mbampt.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\mbamscheduler.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\mbamservice.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\MpCmdRun.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\MSASCui.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\MsMpEng.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\msseces.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\rstrui.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\ScriptHelper.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\SDFiles.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\SDMain.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\SDWinSec.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\spybotsd.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\ToolbarUpdater.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\vprot.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\wireshark.exe: Debugger - nqij.exe File not found
O27:64bit: - HKLM IFEO\zlclient.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\AvastSvc.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\AvastUI.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avcenter.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avconfig.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avgnt.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avguard.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avp.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\avscan.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\bdagent.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\blindman.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\ccuac.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\ComboFix.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\egui.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\hijackthis.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\instup.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\keyscrambler.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\loggingserver.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\mbampt.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\mbamscheduler.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\mbamservice.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\MpCmdRun.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\MSASCui.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\MsMpEng.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\msseces.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\ScriptHelper.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\SDFiles.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\SDMain.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\SDWinSec.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\spybotsd.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\ToolbarUpdater.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\vprot.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\wireshark.exe: Debugger - nqij.exe File not found
O27 - HKLM IFEO\zlclient.exe: Debugger - nqij.exe File not found
[2014-06-25 22:13:05 | 000,000,000 | -HSD | C] -- C:\Windows\SysWow64\Windows Services
[2014-06-25 22:12:54 | 000,000,000 | -HSD | C] -- C:\Users\Konrad\yHdkfQCjv
[2014-06-26 00:47:57 | 000,045,208 | ---- | M] () -- C:\Users\Konrad\AppData\Roaming\msconfig.ini
[2014-06-02 19:22:24 | 000,003,750 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml
[2013-12-07 12:33:21 | 000,000,120 | ---- | C] () -- C:\Users\Konrad\AppData\Roaming\2fcf80fe.dat
[2014-01-11 19:12:19 | 000,000,000 | -HSD | M] -- C:\Users\Konrad\AppData\Roaming\wyUpdate AU
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=- 
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

W panelu sterowania odinstaluj Wsys Control 10.2.1.2652.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

buukmacher · 25 Czerwiec 2014 23:11

Zrobiłem to co napisałeś i automatycznie po kliknięciu wykonaj skrypt wywaliło bluescreen’a

Atis · 25 Czerwiec 2014 23:17

Wykonaj skrypt w trybie awaryjnym.

buukmacher · 25 Czerwiec 2014 23:32

FRST: http://www.wklej.org/id/1402225/

Addition: http://www.wklej.org/id/1402227/

Po przeskanowaniu AdwCleanerem i kliknieciu usun wywalilo kolejnego bluescreen’a.

Atis · 25 Czerwiec 2014 23:38

Wykonaj skrypt w awaryjnym i później utwórz nowe raporty z FRST.

buukmacher · 25 Czerwiec 2014 23:50

FRST: http://www.wklej.org/id/1402238/

Addition: http://www.wklej.org/id/1402240/

Atis · 25 Czerwiec 2014 23:53

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=sc&from=smt&uid=WDCXWD10EFRX-68JCSN0_WD-WCC1U396152361523&ts=1381963561
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=ds&from=smt&uid=WDCXWD10EFRX-68JCSN0_WD-WCC1U396152361523&ts=1381963561&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=ds&from=smt&uid=WDCXWD10EFRX-68JCSN0_WD-WCC1U396152361523&ts=1381963561&type=default&q={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={65F384F5-0A24-42F9-94B4-3037C75EF6BB}&mid=e164cd3e19d647d3ae1d05743850861e-91be25dc4fc54a09efa607d18ecde2f046c2b0a8&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-08 19:36:35&v=18.1.6.542&pid=safeguard&sg=&sap=dsp&q={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF DefaultSearchEngine: AVG Secure Search
FF SelectedSearchEngine: AVG Secure Search
FF Homepage: hxxp://mysearch.avg.com?cid={65F384F5-0A24-42F9-94B4-3037C75EF6BB}&mid=e164cd3e19d647d3ae1d05743850861e-91be25dc4fc54a09efa607d18ecde2f046c2b0a8&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-08 19:36:35&v=18.0.5.292&pid=safeguard&sg=&sap=hp
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml
S2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe" [X]
S2 MBAMService; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
C:\AdwCleaner
C:\Users\Konrad\Downloads\9lab-Removal-Tool(42788).exe
C:\Users\Konrad\jagex_cl_runescape_LIVE.dat
C:\Users\Konrad\random.dat
Task: {AA1BFDF5-5E14-4586-8FD0-BCD21D71EAA5} - System32\Tasks\Dealply => C:\Users\Konrad\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\Dealply.job => C:\Users\Konrad\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Users\Konrad\jQNER.txt

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

buukmacher · 25 Czerwiec 2014 23:59

Nadal jest problem z AVG i Malware, pierwszego nie moge odpalic(poprostu nic sie nie dzieje po uruchomieniu), a drugiego nie moge zainstalować.

Juz robie tego fix’a.

Atis · 26 Czerwiec 2014 00:11

Wklej do OTL i kliknij Wykonaj skrypt:

:Files
C:\FRST

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Dr.Web CureIt

Odinstaluj:

Adobe Flash Player 10 ActiveX

Adobe Flash Player 11 Plugin

Java 7 Update 51

Java 7

Java SE Development Kit 7

Zainstaluj:

Java 7 Update 60

Flash Player 14.0.0.125 Internet Explorer i Plugin-based browsers

Internet Explorer 11

buukmacher · 26 Czerwiec 2014 09:37

Zrobiłem to wszystko, ale nadal mam problem z AVG nie moge nawet otworzyc folderu z nim poniewaz jak system twierdzi nie mam uprawnien do tego.

Atis · 26 Czerwiec 2014 12:28

AVG Remover:

http://www.avg.com/pl-pl/utilities

mbam-clean.exe:

https://helpdesk.malwarebytes.org/entries/25291497-How-do-I-uninstall-Malwarebytes-Anti-Malware-

buukmacher · 26 Czerwiec 2014 13:18

Próba zainstalowania AVG; http://zapodaj.net/931831f8a07b3.jpg.html

Ten mbam-clean coś nie działa, zrestartował mi kompa i tyle, a AVG Remover nie wiem czy podziałał. Na C nadal mam folder AVG, którego nie moge otworzyć, tak więc nie wiem ile usunął, a próba zmiany miejsca instalacji programu nic nie dała.

Atis · 26 Czerwiec 2014 13:39

Czy użyłeś tych programów w trybie awaryjnym?

buukmacher · 26 Czerwiec 2014 14:25

nope

odpalenie w trybie awaryjnym nic nie dało

to avg odpalilem w trybie awaryjnym, a potem musialem normalnie wlaczyc windowsa zeby dokonczyl to co zaczal i chyba wlasnie dlatego nie mogl usunac

a to mbam-clean tak samo jak wczesniej tylko mi kompa zresetowalo

Atis · 26 Czerwiec 2014 15:21

Nie wiadomo dlaczego masz taki problem, bo wirus został usunięty.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

buukmacher · 26 Czerwiec 2014 15:50

Nic nie wykryło

Atis · 26 Czerwiec 2014 18:25

Nie potrzeba raportu skoro nic nie wykrył.