Zawieszający, zainfekowany komputer

niepoprawnyy · 23 Sierpień 2012 10:42

Witam. Komputer od pewnego czasu zaczął strasznie przywieszać, sprawdziłem i okazało się, że są wirusy. Proszę o pomoc, bo kompletnie nie wiem co mam z tym zrobić, jeden program wykrył jakiegoś somoto i babylon, drugi malware… Z góry dziękuje, załączam logi z OTL.

OTL.txt:

http://wklej.org/id/816675/

Extras.txt:

http://wklej.org/id/816676/

biomen · 23 Sierpień 2012 11:12

Może weź swój dysk twardy, pójdź z nim do kumpla który ma dobry i sprawdzony antywirus, podczep go do jego kompa i z poziomu jego systemu niech wyszuka i zniszczy wirusy.

niepoprawnyy · 23 Sierpień 2012 11:37

To jest laptop, nie mam gdzie podpiąć dysku. Ani również kumpla, który zna się na tym a więc nadal proszę o pomoc w usunięciu.

biomen · 23 Sierpień 2012 12:49

Jakiego masz program antywirusowy? To że jest to laptop zmienia postać rzeczy. Zainstaluj jak się da jakiegoś nie wiem, avasta na przykład - mnie osobiście nie zawodzi , do tego zainteresuj się Combofixem, w googlu wszystko znajdziesz. Jakieś narzędzie typu CCleaner też by się przydało do usunięcia śmieci - profilaktycznie używam przy każdym problemie. No i próbuj walczyć z dziadostwem

system · 23 Sierpień 2012 12:50

odinstaluj

odinstaluj Spybot-S&D

sprawdż czy masz w dodaj usuń coś co pisz toolbar to też odinstaluj

AVG Security Toolbar

Przeskanuj system tym programem w trybie pełne skanowanie

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

jak będziesz instalował to instaluj wersje darmową,po prostu odhacz wersje chyba tam jest 15to dniowa, zobaczysz czy program coś znajdzie

biomen

z całym szacunkiem,ale niech autor żadnego combofixa nie instaluje

niepoprawnyy · 23 Sierpień 2012 13:58

No właśnie… Laptop w dodatku należący do kobiety, więc mało się zna. Jest na nim zainstalowany avast i jak widać, przepuścił. Ccleanerem również jest czyszczony. Ok Spybot odinstalowany, AVG Security Toolbar również. Jedynie problem z hmm Skype Toolbar, nie da się usunąć. No i dużo jest jakiegoś Facebook Video Calling, a dziewczyna w ogóle nie korzysta z facebooka. Program zainstalowałem i trwa skanowanie. Po skanie dać log?

Leon1 · 23 Sierpień 2012 14:38

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL PRC - [2012-07-09 23:02:25 | 000,935,008 | ---- | M] () – C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe PRC - [2012-07-09 23:02:16 | 001,107,552 | ---- | M] () – C:\Program Files (x86)\AVG Secure Search\vprot.exe MOD - [2012-07-09 23:02:40 | 000,132,704 | ---- | M] () – C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\SiteSafety.dll MOD - [2012-07-09 23:02:16 | 001,107,552 | ---- | M] () – C:\Program Files (x86)\AVG Secure Search\vprot.exe SRV - [2012-07-13 13:28:36 | 000,160,944 | R— | M] (Skype Technologies) [Auto | Stopped] – C:\Program Files (x86)\Skype\Updater\Updater.exe – (SkypeUpdate) SRV - [2012-07-09 23:02:25 | 000,935,008 | ---- | M] () [Auto | Running] – C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe – (vToolbarUpdater11.2.0) IE - HKLM…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/splitcam/{09945EBB-2980-437D-A042-570B3590C1BF} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1000…\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\SplitCam DB Toolbar\tbhelper.dll () IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={D6DE3BC7-6CDC-4048-A1D5-99414E2093BB}&mid=1fd4219e959047d0bb7ff186769fb671-358d2d167c0927a9b3eebb587297ddaa0956bc98〈=en&ds=qw011&pr=sa&d=2012-05-22 00:10:48&v=11.1.0.12&sap=hp IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\SplitCam DB Toolbar\tbhelper.dll () IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://isearch.avg.com/search?cid={D6DE3BC7-6CDC-4048-A1D5-99414E2093BB}&mid=1fd4219e959047d0bb7ff186769fb671-358d2d167c0927a9b3eebb587297ddaa0956bc98〈=en&ds=qw011&pr=sa&d=2012-05-22 00:10:48&v=11.1.0.7&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: “URL” = http://www.bigseekpro.com/search/browser/splitcam/{09945EBB-2980-437D-A042-570B3590C1BF}?q={searchTerms} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{DECA7960-39F9-4A67-AAF1-CF1A961FCC89}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js…browser.search.defaultthis.engineName: “uTorrentControl2 Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.startup.homepage: “http://search.conduit.com/?ctid=CT3072253&SearchSource=13” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=” FF - HKLM\Software\MozillaPlugins@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\npsitesafety.dll () FF - HKCU\Software\MozillaPlugins@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\Komputer\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\avg@toolbar: C:\ProgramData\AVG Secure Search\11.1.0.12\ [2012-07-09 23:02:48 | 000,000,000 | —D | M] [2012-06-07 21:16:04 | 000,000,935 | ---- | M] () – C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox\Profiles\5d4ep69f.default\searchplugins\conduit.xml [2012-07-09 23:02:15 | 000,003,769 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml O2:64bit: - BHO: (no name) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - No CLSID value found. O2:64bit: - BHO: (FoxTab) - {9BCF56B3-CF14-4C78-A07D-35DD410A8C11} - Reg Error: Value error. File not found O2:64bit: - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Komputer\AppData\Roaming\Complitly\64\Complitly64.dll File not found O2 - BHO: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll () O2 - BHO: (no name) - {9BCF56B3-CF14-4C78-A07D-35DD410A8C11} - No CLSID value found. O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Komputer\AppData\Roaming\Complitly\Complitly.dll File not found O3:64bit: - HKLM…\Toolbar: (FoxTab) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - Reg Error: Value error. File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - No CLSID value found. O3 - HKLM…\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll () O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Toolbar\WebBrowser: (uTorrentControl2 Toolbar) - {687578B9-7132-4A7A-80E4-30EE31099E03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O4 - HKLM…\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe () O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Run: [Facebook Update] “C:\Users\Komputer\AppData\Local\Facebook\Update\FacebookUpdate.exe” /c /nocrashserver File not found O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra ‘Tools’ menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra ‘Tools’ menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\11.2.0\ViProtocol.dll () [2012-08-23 11:09:07 | 000,000,000 | —D | C] – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy [2012-08-23 11:09:03 | 000,000,000 | —D | C] – C:\ProgramData\Spybot - Search & Destroy [2012-08-23 11:09:03 | 000,000,000 | —D | C] – C:\Program Files (x86)\Spybot - Search & Destroy [2012-08-23 11:55:00 | 000,001,052 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012-08-23 11:45:01 | 000,001,070 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001UA.job [2012-08-23 11:36:01 | 000,000,930 | ---- | M] () – C:\Windows\tasks\Adobe Flash Player Updater.job [2012-08-23 11:20:15 | 000,001,048 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012-08-23 03:52:25 | 000,001,090 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001UA.job [2012-08-23 00:52:00 | 000,001,068 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001Core.job [2012-08-22 12:45:01 | 000,001,018 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001Core.job [2012-08-20 23:15:05 | 000,000,454 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Komputer.job [2012-08-19 20:09:38 | 000,000,336 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120819_200931.reg [2012-08-13 12:51:23 | 000,011,064 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120813_125119.reg [2012-08-11 18:16:52 | 000,046,284 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120811_181641.reg @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:41099CE9 @Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:981884E7 @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:A09AD20F @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:81F83028 @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:3AE22B1A @Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:2398E95B @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:D20FFA63 @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:5D458568 @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:029E021F @Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:3E7393FC @Alternate Data Stream - 112 bytes -> C:\ProgramData\Temp:D1B5B4F1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

start >> pole wyszukiwania wpisz cmd >> otwórz jako administrator >> wpisz chkdsk /f /r >> Enter

niepoprawnyy · 23 Sierpień 2012 15:59

Bardzo dziękuje za zainteresowanie a więc zrobiłem wszystko po kolei.

Log z usuwania:

http://wklej.org/id/816894/

Nowy log OTL.txt:

http://wklej.org/id/816905/

Leon1 · 23 Sierpień 2012 16:08

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

niepoprawnyy · 23 Sierpień 2012 16:17

Ok i później wkleić znów z czegoś log? Z OTL usuwania i nowy czy z tego Dr.WEB?

adam9870 · 23 Sierpień 2012 16:19

Z OTL nie wkleisz (chyba, że raport z usuwania), bo OTL usuniesz poprzez kliknięcie Sprzątanie.

Jeżeli Dr.Web coś znajdzie, to pokaż raport. Albo przeskanuj Malwarebytes Anti-Malware.

Pozdrawiam.

system · 23 Sierpień 2012 16:22

Już nie teraz przeczyść cclanerem

i skan drveb

niepoprawnyy · 23 Sierpień 2012 19:23

Wszystko zrobiłem zgodnie z poleceniami no i ani w Dr.Web ani w Malwarebytes nie znaleziono żadnych zagrożeń czyli komputer naprawiony? Czy jeszcze czymś dla pewności sprawdzić? Dziękuje bardzo za pomoc pozdrawiam.

Leon1 · 23 Sierpień 2012 19:27

czy uruchamiałeś chkdsk?

niepoprawnyy · 23 Sierpień 2012 19:52

Tak w taki sposób jak wyżej pisałeś. Tylko chyba coś nie poszło jak miało, bo przy włączaniu laptopa wyświetla się coś w stylu, że wymagane jest sprawdzenie spójności danych.

Leon1 · 24 Sierpień 2012 14:07

W wierszu poleceń wpisz fsutil dirty query ?:

? - literka partycji na której chce sprawdzać

niepoprawnyy · 24 Sierpień 2012 21:09

Ok dzięki zaraz tak zrobię, mam nadzieje że po tym sprawdzaniu już będzie ok

– Dodane 25.08.2012 (So) 0:05 –

Hmm no i po wpisaniu tego wyświetla się, że wolumin c: był zmieniany.

Leon1 · 25 Sierpień 2012 11:22

czy nadal chce sprawdzać po uruchomieniu

niepoprawnyy · 25 Sierpień 2012 18:23

Tak… Przed ekranem do logowania wyświetla się nadal komunikat, że wymaga sprawdzenia spójności danych.

Leon1 · 26 Sierpień 2012 10:21

w takim razie jeszcze raz

start >> pole wyszukiwania wpisz cmd >> otwórz jako administrator

wklej fsutil dirty query C: >> Enter

potem restart kompa i patrz czy jest komunikat

chyba że chodzi o inną partycje niż C: