Zainfekowany i zamulony komputer

Dla specjalistów Bezpieczeństwo
#1

Witam.

 

Dawno nie skanowałem komputera, więc zrobiłem to wczoraj. Malwarebytes wykrył kilkanaście wirusów, w tym wormy i keylogery. Dodatkowo komputer strasznie muli, chociaż używam go głównie do przeglądania internetu. Nie mogę również zatrzymywać procesów w menedżerze.

 

Bardzo proszę o sprawdzenie logów i pomoc w usunięciu wszystkich zagrożeń.

 

OTL.Txt : http://wklej.org/id/1406425/

Extras.Txt : http://wklej.org/id/1406426/

#2

Odinstaluj Unity Web Player.Pobierz i uruchom AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

#3

  1. Odinstaluj Unity Web Player. - zrobione.

  2. Pobierz i uruchom AdwCleaner https://toolslib.net…loads/finish/1/ Kliknij Szukaj i później Usuń. - zrobione.

  3. Pobierz Farbar Recovery Scan Tool http://www.bleepingc…very-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

 

FRST - http://wklej.org/id/1406665/

Addition - http://wklej.org/id/1406666/

#4

Odinstaluj Media Player Codec Pack 4.2.9.Otwórz Notatnik i wklej:

HKU\S-1-5-21-220523388-813497703-682003330-1003\...\Run: [hvo64.exe] = C:\Documents and Settings\jarek\Ustawienia lokalne\Temp\hvo64.exe [1234745 2014-06-27] (Copyright (c) 1991-2013 WinZip International LLC - All Rights Reserved) ===== ATTENTION
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {0acb121e-d080-11e3-bed0-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {0fb99d8c-c652-11e3-be91-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {2ab7d086-a915-11e3-bdae-00148565da3e} - E:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {2dda784a-cd0a-11e3-bebd-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {41cdf9e9-d9e7-11e3-bf04-00148565da3e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL riUom.Exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {4993d8c0-ab7b-11e3-bdbf-00148565da3e} - E:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {5262772c-7962-11e3-bc91-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL siUON.EXe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {5262772d-7962-11e3-bc91-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SIUON.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {5262772e-7962-11e3-bc91-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SiUON.EXE
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {5d3587cb-c070-11e3-be4f-00148565da3e} - D:\ICM_Manager.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {65d04170-ac13-11e3-bdc2-00148565da3e} - E:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {67531afc-acf0-11e3-bdcc-00148565da3e} - F:\Install_Nokia_Ovi_Suite.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {774ae993-a3c4-11e3-bd8a-00148565da3e} - E:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {8a5a0360-dcf5-11e3-bf17-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {8f0fee5e-aef3-11e3-bdd9-00148565da3e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL FUefUE.ExE
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {926552a8-b8bf-11e3-be1d-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {9d081b0e-ce14-11e3-bec4-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {ab194152-dd8a-11e3-bf1b-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {d414ccb8-5bdc-11e3-9c11-00148565da3e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SiUON.eXe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {f2337732-c481-11e3-be74-00148565da3e} - D:\PlayDiskStart.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {f56bb85f-a491-11e3-bd8d-00148565da3e} - E:\win\CDSplash.exe
HKU\S-1-5-21-220523388-813497703-682003330-1003\...\MountPoints2: {ffb0fb44-c208-11e3-be58-00148565da3e} - D:\PlayDiskStart.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope value is missing.
S2 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [X]
2014-07-01 11:34 - 2014-05-06 20:47 - 00000000 ____ D () C:\AdwCleaner
C:\Documents and Settings\jarek\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\jarek\Ustawienia lokalne\Temp\*.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#5

Gotowe. Co dalej?

#6

Skasuj folder C:\FRST

Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).

#7

Folder skasowany. Uruchomiłem TFC i dałem “Start”. Za pierwszym razem program się zaciął, więc zrobiłem reset. Za drugim wszystko poszło już sprawnie. Skasowane pliki miały łączną wagę ponad 4 GB. Widać ewidentną poprawę, ponieważ już tak nie muli. Czy to wszystko?

#8

To wszystko.