Witam. Komputer od pewnego czasu zaczął strasznie przywieszać, sprawdziłem i okazało się, że są wirusy. Proszę o pomoc, bo kompletnie nie wiem co mam z tym zrobić, jeden program wykrył jakiegoś somoto i babylon, drugi malware… Z góry dziękuje, załączam logi z OTL.
OTL.txt:
http://wklej.org/id/816675/
Extras.txt:
http://wklej.org/id/816676/
biomen
(Matadini)
23 Sierpień 2012 11:12
#2
Może weź swój dysk twardy, pójdź z nim do kumpla który ma dobry i sprawdzony antywirus, podczep go do jego kompa i z poziomu jego systemu niech wyszuka i zniszczy wirusy.
To jest laptop, nie mam gdzie podpiąć dysku. Ani również kumpla, który zna się na tym a więc nadal proszę o pomoc w usunięciu.
biomen
(Matadini)
23 Sierpień 2012 12:49
#4
Jakiego masz program antywirusowy? To że jest to laptop zmienia postać rzeczy. Zainstaluj jak się da jakiegoś nie wiem, avasta na przykład - mnie osobiście nie zawodzi , do tego zainteresuj się Combofixem, w googlu wszystko znajdziesz. Jakieś narzędzie typu CCleaner też by się przydało do usunięcia śmieci - profilaktycznie używam przy każdym problemie. No i próbuj walczyć z dziadostwem
system
(system)
23 Sierpień 2012 12:50
#5
odinstaluj
odinstaluj Spybot-S&D
sprawdż czy masz w dodaj usuń coś co pisz toolbar to też odinstaluj
AVG Security Toolbar
Przeskanuj system tym programem w trybie pełne skanowanie
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
jak będziesz instalował to instaluj wersje darmową,po prostu odhacz wersje chyba tam jest 15to dniowa, zobaczysz czy program coś znajdzie
biomen
z całym szacunkiem,ale niech autor żadnego combofixa nie instaluje
No właśnie… Laptop w dodatku należący do kobiety, więc mało się zna. Jest na nim zainstalowany avast i jak widać, przepuścił. Ccleanerem również jest czyszczony. Ok Spybot odinstalowany, AVG Security Toolbar również. Jedynie problem z hmm Skype Toolbar, nie da się usunąć. No i dużo jest jakiegoś Facebook Video Calling, a dziewczyna w ogóle nie korzysta z facebooka. Program zainstalowałem i trwa skanowanie. Po skanie dać log?
Leon1
(Leon$)
23 Sierpień 2012 14:38
#7
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2012-07-09 23:02:25 | 000,935,008 | ---- | M] () – C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe PRC - [2012-07-09 23:02:16 | 001,107,552 | ---- | M] () – C:\Program Files (x86)\AVG Secure Search\vprot.exe MOD - [2012-07-09 23:02:40 | 000,132,704 | ---- | M] () – C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\SiteSafety.dll MOD - [2012-07-09 23:02:16 | 001,107,552 | ---- | M] () – C:\Program Files (x86)\AVG Secure Search\vprot.exe SRV - [2012-07-13 13:28:36 | 000,160,944 | R— | M] (Skype Technologies) [Auto | Stopped] – C:\Program Files (x86)\Skype\Updater\Updater.exe – (SkypeUpdate) SRV - [2012-07-09 23:02:25 | 000,935,008 | ---- | M] () [Auto | Running] – C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe – (vToolbarUpdater11.2.0) IE - HKLM…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/splitcam/{09945EBB-2980-437D-A042-570B3590C1BF} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1000…\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\SplitCam DB Toolbar\tbhelper.dll () IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={D6DE3BC7-6CDC-4048-A1D5-99414E2093BB}&mid=1fd4219e959047d0bb7ff186769fb671-358d2d167c0927a9b3eebb587297ddaa0956bc98〈=en&ds=qw011&pr=sa&d=2012-05-22 00:10:48&v=11.1.0.12&sap=hp IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\SplitCam DB Toolbar\tbhelper.dll () IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://isearch.avg.com/search?cid={D6DE3BC7-6CDC-4048-A1D5-99414E2093BB}&mid=1fd4219e959047d0bb7ff186769fb671-358d2d167c0927a9b3eebb587297ddaa0956bc98〈=en&ds=qw011&pr=sa&d=2012-05-22 00:10:48&v=11.1.0.7&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: “URL” = http://www.bigseekpro.com/search/browser/splitcam/{09945EBB-2980-437D-A042-570B3590C1BF}?q={searchTerms} IE - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\SearchScopes{DECA7960-39F9-4A67-AAF1-CF1A961FCC89}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js…browser.search.defaultthis.engineName: “uTorrentControl2 Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.startup.homepage: “http://search.conduit.com/?ctid=CT3072253&SearchSource=13 ” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q= ” FF - HKLM\Software\MozillaPlugins@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\npsitesafety.dll () FF - HKCU\Software\MozillaPlugins@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\Komputer\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\avg@toolbar: C:\ProgramData\AVG Secure Search\11.1.0.12\ [2012-07-09 23:02:48 | 000,000,000 | —D | M] [2012-06-07 21:16:04 | 000,000,935 | ---- | M] () – C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox\Profiles\5d4ep69f.default\searchplugins\conduit.xml [2012-07-09 23:02:15 | 000,003,769 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml O2:64bit: - BHO: (no name) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - No CLSID value found. O2:64bit: - BHO: (FoxTab) - {9BCF56B3-CF14-4C78-A07D-35DD410A8C11} - Reg Error: Value error. File not found O2:64bit: - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Komputer\AppData\Roaming\Complitly\64\Complitly64.dll File not found O2 - BHO: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll () O2 - BHO: (no name) - {9BCF56B3-CF14-4C78-A07D-35DD410A8C11} - No CLSID value found. O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Komputer\AppData\Roaming\Complitly\Complitly.dll File not found O3:64bit: - HKLM…\Toolbar: (FoxTab) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - Reg Error: Value error. File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - No CLSID value found. O3 - HKLM…\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll () O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Toolbar\WebBrowser: (uTorrentControl2 Toolbar) - {687578B9-7132-4A7A-80E4-30EE31099E03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.) O4 - HKLM…\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe () O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Run: [Facebook Update] “C:\Users\Komputer\AppData\Local\Facebook\Update\FacebookUpdate.exe” /c /nocrashserver File not found O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1001…\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-81084550-3254078807-2835878401-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra ‘Tools’ menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra ‘Tools’ menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\11.2.0\ViProtocol.dll () [2012-08-23 11:09:07 | 000,000,000 | —D | C] – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy [2012-08-23 11:09:03 | 000,000,000 | —D | C] – C:\ProgramData\Spybot - Search & Destroy [2012-08-23 11:09:03 | 000,000,000 | —D | C] – C:\Program Files (x86)\Spybot - Search & Destroy [2012-08-23 11:55:00 | 000,001,052 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012-08-23 11:45:01 | 000,001,070 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001UA.job [2012-08-23 11:36:01 | 000,000,930 | ---- | M] () – C:\Windows\tasks\Adobe Flash Player Updater.job [2012-08-23 11:20:15 | 000,001,048 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012-08-23 03:52:25 | 000,001,090 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001UA.job [2012-08-23 00:52:00 | 000,001,068 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001Core.job [2012-08-22 12:45:01 | 000,001,018 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-81084550-3254078807-2835878401-1001Core.job [2012-08-20 23:15:05 | 000,000,454 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Komputer.job [2012-08-19 20:09:38 | 000,000,336 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120819_200931.reg [2012-08-13 12:51:23 | 000,011,064 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120813_125119.reg [2012-08-11 18:16:52 | 000,046,284 | ---- | M] () – C:\Users\Komputer\Documents\cc_20120811_181641.reg @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:41099CE9 @Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:981884E7 @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:A09AD20F @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:81F83028 @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:3AE22B1A @Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:2398E95B @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:D20FFA63 @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:5D458568 @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:029E021F @Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:3E7393FC @Alternate Data Stream - 112 bytes -> C:\ProgramData\Temp:D1B5B4F1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
start >> pole wyszukiwania wpisz cmd >> otwórz jako administrator >> wpisz chkdsk /f /r >> Enter
Bardzo dziękuje za zainteresowanie a więc zrobiłem wszystko po kolei.
Log z usuwania:
http://wklej.org/id/816894/
Nowy log OTL.txt:
http://wklej.org/id/816905/
Leon1
(Leon$)
23 Sierpień 2012 16:08
#9
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
W OTL kilknij CleanUp (Sprzątanie)
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
Ok i później wkleić znów z czegoś log? Z OTL usuwania i nowy czy z tego Dr.WEB?
adam9870
(adam9870)
23 Sierpień 2012 16:19
#11
Z OTL nie wkleisz (chyba, że raport z usuwania), bo OTL usuniesz poprzez kliknięcie Sprzątanie.
Jeżeli Dr.Web coś znajdzie, to pokaż raport. Albo przeskanuj Malwarebytes Anti-Malware .
Pozdrawiam.
system
(system)
23 Sierpień 2012 16:22
#12
Już nie teraz przeczyść cclanerem
i skan drveb
Wszystko zrobiłem zgodnie z poleceniami no i ani w Dr.Web ani w Malwarebytes nie znaleziono żadnych zagrożeń czyli komputer naprawiony? Czy jeszcze czymś dla pewności sprawdzić? Dziękuje bardzo za pomoc pozdrawiam.
Tak w taki sposób jak wyżej pisałeś. Tylko chyba coś nie poszło jak miało, bo przy włączaniu laptopa wyświetla się coś w stylu, że wymagane jest sprawdzenie spójności danych.
Leon1
(Leon$)
24 Sierpień 2012 14:07
#16
W wierszu poleceń wpisz fsutil dirty query ?:
? - literka partycji na której chce sprawdzać
Ok dzięki zaraz tak zrobię, mam nadzieje że po tym sprawdzaniu już będzie ok
– Dodane 25.08.2012 (So) 0:05 –
Hmm no i po wpisaniu tego wyświetla się, że wolumin c: był zmieniany.
Leon1
(Leon$)
25 Sierpień 2012 11:22
#18
czy nadal chce sprawdzać po uruchomieniu
Tak… Przed ekranem do logowania wyświetla się nadal komunikat, że wymaga sprawdzenia spójności danych.
Leon1
(Leon$)
26 Sierpień 2012 10:21
#20
w takim razie jeszcze raz
start >> pole wyszukiwania wpisz cmd >> otwórz jako administrator
wklej fsutil dirty query C: >> Enter
potem restart kompa i patrz czy jest komunikat
chyba że chodzi o inną partycje niż C: