Zainfekowany komputer. Jak to ogarnąć?

Dla specjalistów Bezpieczeństwo
#1

Witam,od pewnego czasu mój komputer bardzo mocno muli i zaczeły wyskakiwać jakieś dziwne okna w przeglądarce ostatnio wchodząc na kurnik dostałem komunikat “TWÓJ KOMUTER JEST ZAGROŻONY TROJANEM!”, niestety mój antywirus też został przejęty przez niego. Nic nie wykrywa wyskakuje błąd. Co polecacie w takiej sytuacji zrobić?

#2

Na pewno zrobić obowiązkowe logi.

#3

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

#4

 

Jest i skan http://www.wklej.org/id/1680879/ :slight_smile:

#5

Brak loga Addition.txt

#6

 

http://wklej.org/id/1680888/

#7

Odinstaluj Adobe Reader 9.4.0 - Polish,AVG 2013 ,McAfee Security Scan Plus,Responsive Web Design Tester,UniiDeaLosa,Yahoo! Install Manager,Yahoo! Toolbar,youtubeadblocker.Otwórz notatnik systemowy i wklej:

CustomCLSID: HKU\S-1-5-21-1229272821-839522115-1801674531-500_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\E080\temp\fifa football 2002 game.exe No File
HKLM\...\Run: [AVG_UI] = C:\Program Files\AVG\AVG2013\avgui.exe [4411952 2014-11-04] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [Adobe Reader Speed Launcher] = C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [35760 2010-09-23] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] = C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-09-21] (Adobe Systems Incorporated)
HKLM\...\Run: [GrooveMonitor] = C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM\...\Run: [KernelFaultCheck] = %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [NeroFilterCheck] = C:\WINDOWS\system32\NeroCheck.exe [155648 2006-01-12] (Nero AG)
HKU\S-1-5-20\...\RunOnce: [nltide_2] = regsvr32 /s /n /i:U shell32
HKU\S-1-5-20\...\RunOnce: [_nltide_3] = rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-18\...\RunOnce: [nltide_2] = regsvr32 /s /n /i:U shell32
HKU\S-1-5-18\...\RunOnce: [_nltide_3] = rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2013\avgrsx.exe /sync /restart
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hpts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1229272821-839522115-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hpts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579
HKU\S-1-5-21-1229272821-839522115-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
HKU\S-1-5-21-1229272821-839522115-1801674531-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579
HKU\S-1-5-21-1229272821-839522115-1801674531-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
URLSearchHook: HKU\S-1-5-21-1229272821-839522115-1801674531-500 - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1426172496from=wpcuid=SAMSUNGXSP1654N_S0GEJ10L601579q={searchTerms}
SearchScopes: HKU\S-1-5-21-1229272821-839522115-1801674531-500 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26] (Yahoo! Inc.)
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc.)
Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26] (Yahoo! Inc.)
DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\yinsthelper.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
FF SelectedSearchEngine: mystartsearch
FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 - C:\Program Files\Yahoo!\Common\npyaxmpb.dll [2006-11-03] (Yahoo! Inc.)
FF SearchPlugin: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\searchplugins\mystartsearch.xml [2015-03-14]
FF Extension: youtubeadblocker - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\Extensions\cLCP1@Y84.com [2015-03-12]
FF Extension: UniiDeealSe - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\Extensions\qopOF8TB@7.com [2015-03-12]
FF Extension: UUniDealsa - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\Extensions\V@8JSdm0I.com [2015-03-12]
FF Extension: UniiDeaLosa - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\Extensions\YNybYhJ@pJ.org [2015-03-12]
FF Extension: UniDeaLsie - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\Extensions\Z1@XdQlPwra6.edu [2015-03-12]
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\geo14qng.default\extensions\searchengine@gmail.com
FF HKU\S-1-5-21-1229272821-839522115-1801674531-500\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [235696 2014-04-09] (McAfee, Inc.)
S4 exFat; No ImagePath
S4 IntelIde; No ImagePath
U1 WS2IFSL; No ImagePath
2015-03-12 16:59 - 2015-03-12 16:59 - 00000000 ____ D () C:\Program Files\youtubeadblocker
2015-03-12 16:59 - 2015-03-12 16:59 - 00000000 ____ D () C:\Program Files\UniiDeaLosa
2015-03-12 16:59 - 2015-03-12 16:59 - 00000000 ____ D () C:\Program Files\Responsive Web Design Tester
2015-03-12 16:55 - 2015-03-12 16:55 - 00000000 ____ D () C:\Program Files\UniDeals
2015-03-12 16:54 - 2015-03-12 16:54 - 00000000 ____ D () C:\Program Files\UUniDealsa
2015-03-12 16:54 - 2015-03-12 16:54 - 00000000 ____ D () C:\Program Files\UniiDeealSe
2015-03-12 16:54 - 2015-03-12 16:54 - 00000000 ____ D () C:\Program Files\UniDeaLsie
2015-03-12 16:54 - 2015-03-12 16:54 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\14038298130613706384
2015-03-09 12:49 - 2015-03-09 12:49 - 00001773 _____ () C:\Documents and Settings\All Users\Pulpit\McAfee Security Scan Plus.lnk
2015-03-09 12:49 - 2015-03-09 12:49 - 00000000 ____ D () C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
2015-03-09 12:49 - 2015-03-09 12:49 - 00000000 ____ D () C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus
2015-03-09 12:48 - 2015-03-09 12:48 - 00000000 ____ D () C:\Program Files\McAfee Security Scan
2015-03-07 10:49 - 2015-03-09 12:49 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan
2015-03-07 10:49 - 2015-03-07 10:49 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\McAfee
C:\Documents and Settings\Administrator\ycomp_setup.exe
C:\Documents and Settings\Default User\ycomp_setup.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.

#8

AVG i reszta zacieła się podczas odinstalowywania i dalej nic się nie dzieje, próbowałem odpalać jeszcze raz komputer, dalej to samo a nawet czasem już podczas wchodzenia w panel sterowania się zacina. Mógłbym przeinstalować Windowsa, ale czy to coś da? Co później powinienem robić?

#9

Usuń w trybie awaryjnym.

#10

Zrobiłem co kazałeś na końcu dostałem takie coś: http://wklej.org/id/1681443/

Wiec teraz już nie ma wirusów, tak? Dalej mam korzystać z antywirusa AVG w wersji darmowej czy widzisz jakieś lepsze opcje?

 

#11

Masz Kaspersky Anti-Virus.

Skasuj folder C:\FRST

#12

Kaspersky Anti-Virus z roku 2006 został zainstalowany tylko po to żeby wyręczyć niesprawnego AVG w  wykrywaniu wirusów, ale wykrył wtedy tylko 6 bodajże :smiley:

#13

To nie jest prawidłowa metoda żeby instalować drugiego antywirusa do usuwania wirusów.

Odinstaluj Adobe Reader 9.4.0 - Polish.Dałeś 2 logi Addition.txt