Infekcja typu Smitfraud

Dzisiaj moja siostra przez facebooka zainfekowała komputer tym dziadostwem co chwila jakieś dymki się pokazują i aby kupić ich "cudowny" antywirus który usunie wszystko... Nie wiem co robić bo nie mogę nawet logów zrobić Infekcja wszystko blokuje, proszę o jakieś rzeczowe porady Oczywiście próbowałem na awaryjnym i raz nawet udało mi się uruchomić tego fixa z fixy-na-trudne-przypadki-t6607.html lecz zaraz infekcja moje próby zablokowała.

Udało się zrobić loga w tym fixie:

Kod:

SmitFraudFix v2.424

Scan done at 22:12:55,85, 2012-03-06
Run from C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\SmitfraudFix
OS: Microsoft Windows [Wersja 6.1.7601] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\ctfmon.exe
C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\F4D561F300000A4D0120F6BDB4EB2367.exe
C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\SmitfraudFix\Policies.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KD\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files (x86)

Podaj logi z:
OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754
TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292
Narzędzia uruchom w trybie awaryjnym.

Chocbym nie wiem jak chcial to skanowania w otl nie wykonam bo probowalem juz, gdy naciskam skanuj program sie zacina a potem to sie pojawia dymek z your computer is infected...
sprobuje jeszcze jutro no i ty tds moze chociaz sie uda

Spróbuj najpierw użyć RKill http://www.instalki.pl/programy/downloa ... RKill.html, a następnie uruchomić OTL.

Jest coraz gorzej nie wiem czy cokolwiek się uratuje udało mi sie zrobić tego skana w awaryjnym. Ten ich antywirus się już nie uruchamia ale sam też nie mogę uruchomić żadnego pliku .exe dopiero teraz zamieniłem rozszerzenie na .com to chociaż firefox mi zadziałał bo już myślałem że ten system w ogóle nie nadaje się do użytku.
http://wklej.eu/index.php?id=d26071754c
http://wklej.eu/index.php?id=6c519fc3fa
A teraz co mam zrobić? Ten TDSS czy to co dałeś wyżej?

/edit
Wytłumacz mi też jedną rzecz... dlaczego avira nie zareagowała i pozwoliła ot tak na infekcje?? Miałem wszystko po włączane i zaktualizowane. Uważałem ją za dobrego antywirusa.

/edit2
TDSSKiller: nic nie znalazł chyba
http://wklej.eu/index.php?id=c91beb9148

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bae4750-e793-11e0-a3f4-001a4d872b26&q={searchTerms}
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109805&tt=090212_ctrl&babsrc=HP_ss&mntrId=d4f8e3cf000000000000001485d17401
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109805&tt=090212_ctrl&babsrc=SP_ss&mntrId=d4f8e3cf000000000000001485d17401
IE - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 123.242.153.114:80
[2012-02-18 11:54:39 | 000,002,351 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O37 - HKU\S-1-5-21-3992387213-4270112954-3811298779-1001\...exe [@ = F4D56] -- "C:\ProgramData\F4D561F300000A4D0120F6BDB4EB2367\F4D561F300000A4D0120F6BDB4EB2367.exe" -s "%1" %*
[2012-03-06 21:40:45 | 000,000,000 | ---D | C] -- C:\Users\KD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log usuwania + nowe logi z OTL.

Wytłumacz mi też jedną rzecz... dlaczego avira nie zareagowała i pozwoliła ot tak na infekcje?? Miałem wszystko po włączane i zaktualizowane. Uważałem ją za dobrego antywirusa.

Nie ma antywirusa ze 100% wykrywalnością.

Ok. Już po wykonaniu skryptu wydaje się, że system powrócił do sprawności sprzed infekcji
Usuwanie OTL: http://www.wklej.eu/index.php?id=f42b5eed88
Nowe logi:
OTL.txt http://wklej.eu/index.php?id=f24677b104
Extras.txt http://wklej.eu/index.php?id=7a4c5d6332

Odinstaluj jeszcze Babylon toolbar

W OTL wklej:

:OTL
[2012-03-06 21:46:13 | 000,001,088 | ---- | C] () -- C:\Users\KD\Desktop\Smart Fortress 2012.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{D360FA88-17C8-4F14-B67F-13AAF9607B12}"=-
[HKEY_USERS\S-1-5-21-3992387213-4270112954-3811298779-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Smart Fortress 2012"=-

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 26
Java(TM) 7 Update 2

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html