masa wirusów, themida blokuje programy do flashowania

[BialyProblemiasz]

no wiec tak komputer ma bledy i to dosc duzo co 3 dni masa wirusow okolo 150,jakas themida blokuje programy potrzebne do flashowania mojego telefonu,ktorej nawet nie mam na komputerze.jedym słowem:syf kiła i mogiła:)
logi:
Extras:
http://www.wklej.eu/index.php?id=0be38774e9
OTL:
http://www.wklej.eu/index.php?id=aa8cbbd30d
GMER:
http://www.wklej.eu/index.php?id=a98929f8eb

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-01-14 00:17:40 | 000,002,572 | ---- | M] () -- C:\Documents and Settings\Biały\Dane aplikacji\Mozilla\Firefox\Profiles\ueb546bq.default\searchplugins\askcom.xml
O4 - HKU\.DEFAULT..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe File not found
O4 - HKU\.DEFAULT..\Run: [tcpudp] C:\WINDOWS\BN4.tmp ()
O4 - HKU\S-1-5-18..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe File not found
O4 - HKU\S-1-5-18..\Run: [tcpudp] C:\WINDOWS\BN4.tmp ()
O4 - HKLM..\RunOnce: [] File not found
[2012-01-12 23:03:14 | 000,004,998 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
O33 - MountPoints2\{1568f95e-4be2-11e1-a29f-0030058d945e}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
[2012-02-17 23:06:02 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1390067357-1993962763-1606980848-1003UA.job
[2012-02-17 23:06:01 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1390067357-1993962763-1606980848-1003Core.job
[2012-02-18 00:07:37 | 000,067,584 | ---- | C] () -- C:\WINDOWS\System32\sqjuumxa.exe

:Files
Recycler /alldrives

:Reg
[HKEY_USERS\S-1-5-21-1390067357-1993962763-1606980848-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[BialyProblemiasz]

http://www.wklej.eu/index.php?id=1045efa034

nowe logi:
http://www.wklej.eu/index.php?id=a706209240
acha i dalej jest ten blad przy otwieraniu a2uploadera

[kominekl]

Odinstaluj Spybot - Search & Destroy (staroć), Malwarebytes Anti-Malware (zła forma instalacji) i USBFix.

Następnie w trybie awaryjnym uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

SRV - [2008-04-14 21:50:36 | 000,161,768 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\lgkva.dll -- (thvfd)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
IE - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [sqjuumxa] C:\WINDOWS\system32\sqjuumxa.exe ()
O4 - HKU\.DEFAULT..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe ()
O4 - HKU\.DEFAULT..\Run: [tcpudp] C:\WINDOWS\BN4.tmp ()
O4 - HKU\S-1-5-18..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe ()
O4 - HKU\S-1-5-18..\Run: [tcpudp] C:\WINDOWS\BN4.tmp ()
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [tcpudp] C:\WINDOWS\BN2.tmp File not found

:Files
C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\RECYCLER
C:\UsbFix
C:\Program Files\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\WINDOWS\System32\drivers\mbamswissarmy.sys
C:\WINDOWS\System32\sqjuumxa.exe
C:\Documents and Settings\Biały\sqjuumxa.exe
C:\WINDOWS\System32\drivers\etc\hosts.20120218-003239.backup
C:\UsbFix_Upload_Me_KOMPUTER.zip
C:\WINDOWS\System32\drivers\etc\hosts.20120218-002628.backup

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mateo8898]

Po wykonaniu powyższego skryptu, gdy będziesz robił nowe logi, wklej w OTL:

netsvcs

i dopiero wtedy kliknij Skanuj. Nie zapomnij o logu Extras.

[BialyProblemiasz]

log po resecie:
http://wklej.eu/index.php?id=a49a0d0629

nowe logi
http://www.wklej.eu/index.php?id=23c36abe24

nie wyswietla mi logu extras
EDIT:
kolejny log bo wczesniej nie zaznaczylem infekcji lop,purity oraz wszystkich uzytkownikow:

http://www.wklej.eu/index.php?id=f1e3cabe4d

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

MOD - [2012-02-18 15:10:52 | 000,196,608 | ---- | M] () -- C:\WINDOWS\Temp\BN3.tmp
IE - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found
O4 - HKLM..\Run: [sqjuumxa] C:\WINDOWS\system32\sqjuumxa.exe ()
O4 - HKU\.DEFAULT..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe ()
O4 - HKU\.DEFAULT..\Run: [tcpudp] C:\WINDOWS\BN3.tmp ()
O4 - HKU\S-1-5-18..\Run: [sqjuumxa] C:\Documents and Settings\Biały\sqjuumxa.exe ()
O4 - HKU\S-1-5-18..\Run: [tcpudp] C:\WINDOWS\BN3.tmp ()
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe (GG Network S.A.)
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [Google Update] "C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c File not found
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [tcpudp] C:\WINDOWS\BN2.tmp File not found
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [Google Update] "C:\Documents and Settings\Biały\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c File not found
O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [tcpudp] C:\WINDOWS\BN2.tmp File not found

:Files
Recycler /alldrives

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]
"thvfd"=-

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL ( z takim samym dopiskiem, jak ostatnio).

[mateo8898]

O4 - HKU\S-1-5-21-1390067357-1993962763-1606980848-1003..\Run: [Gadu-Gadu 10] C:\Program Files\Gadu-Gadu 10\gg.exe (GG Network S.A.)

Czemu usuwasz GG???

Ten syf ciągle się odnawia po usunięciu, więc myślę, że trzeba sięgnąć po coś mocniejszego, bo tak będziemy w kółko jedno i to samo usuwać. Użyj ComboFix i daj log z niego.

[BialyProblemiasz]

http://www.wklej.eu/index.php?id=47fc43defb

nowe logi:
http://www.wklej.eu/index.php?id=94a72acc8a
poki co dalej cos tam themida komunikkat file corupted!...blablabla tylko jest taki problem ze ja nie mam tej themidy zainstalowanej a program pobrany z roznych zrodel i rozna wersja i ten komunikat sie pojawia za kazdym razem dodatkowo mam pyttanie czy mozecie mi napisac czy dzialaja programy t.j. DRWeb,Malware na stronie bo jak pobieram i jest przekierowanie to pojawia sie komunikat ze nie odnaleziono serwera strony microsoftu tez nie ma niby tak jakby powygasaly...

problem z instalowaniem ComboFixa:

Kod: Zaznacz wszystko

http://zapodaj.net/18ab6051a0a2.jpg.html

przepraszam ze ten hosting ale na otofotki nie dam rady bo pisze ze nie prawidlowy format

[mateo8898]

Użyj ComboFix`a, bo to jest bez sensu, wszystko co niby się usunie skryptem wraca z powrotem, zresztą jest tutaj jeszcze prawdopodobnie Conficker, który blokuje strony. Poza tym wyciągnij plik gg.exe z kwarantanny OTL, bo poprzednik go usunął....

[kominekl]

Wybaczcie Panowi za błąd wklejanie. Za dużo mi się zaznaczyło. Koniecznie wyciągnij plik, o którym mówi moderator. Również popieram w tym przypadku użycie Combofix`a, gdyż źródło musi leżeć gdzieś poza zasięgiem OTL`a.

[BialyProblemiasz]

jak przywrocic ten plik mam problem z instalacja combofixa link wyzej

[kominekl]

Pobierz Go z sugerowanej strony pod losową nazwą. Odnajdź plik w folderze _OTL.

[mateo8898]

Spróbuj także w trybie awaryjnym. Jeśli jednak nadal będzie pojawiał się ten komunikat, pisz to podam link do Dr.Web (bo zapewne nie pobierzesz go, gdyż infekcja blokuje stronę).

[BialyProblemiasz]

dalej to samo w trybie awaryjnym...prosilbym o instalke tego programu:)