Mam zainfekowane tym wirusem 2 komputery i kilka pendrivów, więc załączam logi OTL z obu komputerów. Proszę o pomoc w usunięciu.
Komputer 1:
Komputer 2:
Mam zainfekowane tym wirusem 2 komputery i kilka pendrivów, więc załączam logi OTL z obu komputerów. Proszę o pomoc w usunięciu.
Komputer 1:
Komputer 2:
Skrypt wykonaj w w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/kw/kw_1374075102_987034
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/kw/kw_1374075102_987034
O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000…\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1001…\Run: [99] wscript.exe //B “C:\Users\ANGELA\AppData\Roaming\99.vbs” File not found
O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\ANGELA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
O32 - AutoRun File - [2013-12-03 21:04:26 | 000,000,000 | -HS- | M] () - E:\autorun.inf – [FAT32]
:Files
E:\99.vbs
E:*.lnk
E:*.ini
E:\Thumbs.db
J:\99.vbs
J:*.lnk
J:*.ini
attrib /d /s -s -h E:* /c
attrib /d /s -s -h J:* /c
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj bez Extras.
Pokaż nowy raport UsbFix z opcji Listing.
pdfforge Toolbar v6.5
AVG Security Toolbar
Babylon toolbar on IE
MediaBar
hosts
Hotspot Shield Toolbar
Search Protect by conduit
uTorrentControl_v6 Toolbar
FoxTab FLV Player
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Uruchom Fix it i przywróć domyślny plik Hosts:
http://support.microsoft.com/kb/972034/pl
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\.DEFAULT..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe File not found
O4 - HKU\S-1-5-18..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [] File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [BackgroundContainer] C:\Users\Monika\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll (Conduit Ltd.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 2048 = C:\PROGRA~3\LOCALS~1\Temp\ccvtvl.com (Nilem)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013-12-13 13:51:50 | 000,000,350 | ---- | M] () -- C:\windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
[2013-11-26 21:42:49 | 000,239,543 | -HS- | C] () -- C:\Users\Monika\AppData\Roaming\99.vbs
:Files
C:\Users\Monika\AppData\Local\Temp*.html
E:\99.vbs
E:\*.lnk
E:\*.ini
E:\autorun.inf
E:\Thumbs.db
attrib /d /s -s -h E:\* /c
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj bez Extras.
Pokaż nowy raport UsbFix z opcji Listing.
LENOVO
Press F2 for setup
Press F12 for boot device selection menu
Żaden z tych klawiszy nie działa. Po wyłączeniu i włączeniu guzikiem oraz wyjęciu i włożeniu z powrotem baterii nadal jest tak samo.
EDIT: zniknęło po odłączeniu pendriva
Niedługo dodam logi.
Komputer 2:
Z komputera 1 będzie jutro.
Przecież napisałem, że skrypt należy wykonać w trybie awaryjnym.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV:[b]64bit:[/b] - [2013-11-07 14:15:39 | 000,046,368 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)
IE - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001\..\SearchScopes\{07A217B3-FB61-4DCD-B628-21E3A6DEEAA2}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN36286856761205016&UM=1
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.130\McAfeeMSS_IE.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - Startup: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
[2013-12-02 23:36:57 | 000,002,100 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
[2013-11-25 13:45:21 | 000,001,931 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
:Files
E:\99.vbs
E:\*.lnk
E:\*.ini
E:\autorun.inf
E:\Thumbs.db
attrib /d /s -s -h E:\* /c
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pokaż nowy raport UsbFix z opcji Listing.
Myślałam, że to tylko do pierwszego.
Trojan przeniósł pliki do folderu bez nazwy na E.
Przenieś pliki do innej lokalizacji i skasuj folder bez nazwy.
W normalnym trybie wklej i kliknij Wykonaj skrypt:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
[2013-12-13 17:42:00 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-11-25 13:45:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
[2010-10-08 12:28:29 | 000,000,000 | ---D | M] -- C:\Users\Monika\AppData\Roaming\BitDefender
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"99"=-
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
Trojan przeniósł pliki do folderu bez nazwy na E.
W normalnym trybie wklej i kliknij Wykonaj skrypt:
:OTL
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/kw/kw_1374075102_987034
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/kw/kw_1374075102_987034
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2013-11-26 15:13:47 | 000,239,543 | -HS- | C] () -- C:\Users\ANGELA\AppData\Roaming\99.vbs
Uruchom OTL i kliknij Sprzątanie.
W 2. przypadku pomogło, dzięki
Natomiast w 1. nadal są skróty na pendrivach.
W ostatnim raporcie nie ma żadnych skrótów tylko folder bez nazwy na E.
Natomiast J jest według UsbFix całkowicie pusty.
Usunęłam ten folder, nie był mi potrzebny.
Na drugim było coś, ale też usunęłam i teraz problem już nie występuje, sprawdzałam kilka razy.
Dziękuję bardzo za pomoc