Problem z wirusem Win 7 Security 2012

[Shimer]

Witam,
mój problem polega na tym, ze podczas korzystania z przeglądarki Opera, nagle wyskoczył mi jakis program Win 7 security 2012, o którym nie miałem pojęcia ze posiadam. Wykrył ze mam jakieś trojany itp... Zablokował mi Operę i wyskakują jakieś alerty bezpieczeństwa. Korzystając z Firefoxa, doszedłem do wniosku ze to wirus... Dodam ze korzystam z Kasperskiego. Przeglądając różne fora, doszedłem do wniosku ze to nic innego jak wirus. Teraz rodzi się pytanie, jak go zwalczyć? Dlatego zwracam się do ekspertów na tym forum Bardzo proszę o jakąs pomoc, krok po kroku, gdyż nawet nie wiem co to są te "logi".. . Dodam że stawiam dobrą wódkę, za uratowanie kompa. Zalezy mi także na czasie.

Moje gadu: 3944201

Ogromne dziękuję!

[mateo8898]

Podaj logi z OTL i GMER

W razie problemów wykonaj je w trybie awaryjnym.

[Shimer]

Zamieszczam logi

OTL:
http://www.wklej.eu/index.php?id=31642532da

Extras:
http://www.wklej.eu/index.php?id=3758112a4f

GMER za chwilkę

[mateo8898]

Gmera odpuść, bo widzę, że masz system 64-bitowy.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2011-06-12 22:19:09 | 000,344,064 | -HS- | M] (Microsoft Corporation) -- C:\Users\Shimer\AppData\Local\unq.exe
FF - prefs.js..extensions.enabledItems: [email protected]:3.12.2.16749
[2011-06-12 08:05:40 | 000,000,000 | ---D | M] (Foxit PDF Creator Toolbar) -- C:\Users\Shimer\AppData\Roaming\mozilla\Firefox\Profiles\9zrhh18b.default\extensions\[email protected]
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] File not found
O35 - HKU\S-1-5-21-1625244150-408765870-67761525-1000..exefile [open] -- "C:\Users\Shimer\AppData\Local\unq.exe" -a "%1" %* (Microsoft Corporation)
O37 - HKU\S-1-5-21-1625244150-408765870-67761525-1000\...exe [@ = exefile] -- "C:\Users\Shimer\AppData\Local\unq.exe" -a "%1" %* (Microsoft Corporation)
[2011-06-12 22:19:12 | 000,344,064 | -HS- | C] (Microsoft Corporation) -- C:\Users\Shimer\AppData\Local\rwy.exe
[2011-06-12 22:19:09 | 000,344,064 | -HS- | C] (Microsoft Corporation) -- C:\Users\Shimer\AppData\Local\unq.exe
[2011-06-12 22:19:05 | 000,344,064 | -HS- | C] (Microsoft Corporation) -- C:\Users\Shimer\AppData\Local\vxw.exe
[2011-06-13 15:33:57 | 000,011,188 | -HS- | M] () -- C:\Users\Shimer\AppData\Local\55i6emprlt00
[2011-06-12 22:21:19 | 000,011,180 | -HS- | M] () -- C:\ProgramData\55i6emprlt00

:Files
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Shimer\AppData\Local\Temp*.html

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBAgent"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Odinstaluj także Ask Toolbar.

[Shimer]

Chyba o to chodzi?
http://www.wklej.eu/index.php?id=c032e9d000


Kurcze jestem pełen podziwu! Taka wiedza na ten temat!
JESTEM OGROMNIE WDZIĘCZNY!!!!
Dziękuję!

[mateo8898]

OK, podaj jeszcze nowe logi robione opcją Skanuj (tylko wcześniej odinstaluj jeszcze ten toolbar).

[Shimer]

Przesyłam, jednak Toolbar odinstalowałem w trakcie robienia loga.

http://www.wklej.eu/index.php?id=2504d13cec

Pozdrawiam!

[mateo8898]

OK, to tyle.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 17

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.3 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[Shimer]

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) Bad: ("C:\Users\Shimer\AppData\Local\unq.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe") Good: (firefox.exe) Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) Bad: ("C:\Users\Shimer\AppData\Local\unq.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) Bad: ("C:\Users\Shimer\AppData\Local\unq.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") Good: (iexplore.exe) Quarantined and deleted successfully.

Malwarebytes' Anti-Malware zablokował mi wklej.eu i dlatego tutaj

[mateo8898]

Dobra, możesz jeszcze opróżnić jego kwarantannę.

I jeszcze jedno, zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktaulizacji...)

Malwarebytes' Anti-Malware zablokował mi wklej.eu i dlatego tutaj

Zapewne dlatego, że po instalacji zgodziłeś się na wersję testową programu z ochroną w czasie rzeczywistym (wystarczyło wersję darmową, czyli skaner na żądanie) ale to nic, przyda się na te kilka dni, później zostanie tylko skaner. A zablokował wklej.eu, bo jest troszkę "nadwrażliwy". Możesz wyłączyć moduł blokowania stron.

[Shimer]

Wszystko działa jak dawniej.

Ślicznie dziękuję i życzę wszystkiego dobrego.