Uruchomiłem aplikację, a włączyła się instalacja Firefoxa

[Sessvisto]

Witam,

dzisiaj uruchomiłem pewien program (grę?), która klikając od razu zorientowałem się, że coś jest nie tak. Mianowicie włączyła się instalacja firefoxa O.o

Szybko więc wszedłem w google i wpisałem "Online scan" i kliknąłem na link jotti viruscan, jednak strona nie działa. Później próbowałem włączyć inne strony z online scanami jednak też nie działały.

Nie wiedząc co robić szukam ComboFixa na swoim pulpicie, jednak nigdzie go nie ma (na 70% go miałem) O.o. wchodze na instalki i szukam combofixa, jednak nie mogłem ściągnąć. W końcu jakoś ściągnąłem z oficjalnej stronki i za pomocą internet exploer, jednak po skanowaniu problem nie zniknoł. Dodam jeszcze, że gdy wchodzę w dysk C ikonka ComboFixa wygląda jak "Mój Komputer" i jeżeli na nią klikne to otwiera się mój komputer >.<

Oto link do skanu:
http://wklej.eu/index.php?id=8c43bf2194

[mateo8898]

Infekcja jest i to nie jedna, jest tu zainfekowany plik systemowy, więc będziemy to usuwać w dwóch etapach.

1. Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2011-01-25 19:15:51 | 000,606,208 | ---- | M] () -- C:\WINDOWS\Wincft.exe
MOD - [2010-11-08 20:37:22 | 000,541,312 | ---- | M] (TMRG, Inc.) -- C:\Program Files\RelevantKnowledge\rlls.dll
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
FF - prefs.js..browser.startup.homepage: "http://www.daemon-search.com/startpage"
FF - prefs.js..extensions.enabledItems: [email protected]:1.1.1.0014
FF - HKLM\software\mozilla\Firefox\extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge [2011-01-25 19:09:47 | 000,000,000 | ---D | M]
[2010-01-31 12:11:41 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Sessmastahovistomare\Dane aplikacji\Mozilla\Firefox\Profiles\mw8ubtyl.default\extensions\[email protected]
[2010-01-31 12:11:34 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Sessmastahovistomare\Dane aplikacji\Mozilla\Firefox\Profiles\mw8ubtyl.default\searchplugins\daemon-search.xml
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [WinDefender] C:\WINDOWS\Wincft.exe ()
O4 - HKCU..\Run: [Hattric] File not found
O4 - HKCU..\Run: [KiesTrayAgent] File not found
O4 - HKCU..\Run: [WhatPulse] File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll ()
O20 - Winlogon\Notify\RelevantKnowledge: DllName - C:\Program Files\RelevantKnowledge\rlls.dll - C:\Program Files\RelevantKnowledge\rlls.dll (TMRG, Inc.)
[2011-01-25 19:46:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\RelevantKnowledge
[2011-01-25 19:40:18 | 000,000,000 | --SD | C] -- C:\ComboFix
[2011-01-25 19:17:28 | 000,000,306 | ---- | M] () -- C:\Program Files\Common Files\userInit.dll
[2004-08-03 23:44:02 | 000,165,840 | RHS- | C] () -- C:\WINDOWS\System32\ojiybj.dll

:Files
C:\WINDOWS\Wincft.exe
C:\Program Files\RelevantKnowledge

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (tylko ustaw OTL wg. tej instrukcji viewtopic.php?f=22&t=13967#p107754 i podaj obydwa logi).

2. Następnie odpal ComboFixa (w razie czego pobierz świeżą wersję) i podaj log z niego. On powinien podmienić zainfekowany plik czystą kopią.

[Sessvisto]

http://wklej.eu/index.php?id=c38fe89d29 log, który pojawił mi się po wykonaniu skryptu

http://wklej.eu/index.php?id=76d3c0bf9e nowy log po skanowaniu


Problem rozwiązany, ale zgodnie z twoimi zaleceniami, przeskanuję jeszcze ComboFixem. Swoją drogą gdzie mogę znaleść logi z ComboFixa?

[mateo8898]

Problem rozwiązany, ale zgodnie z twoimi zaleceniami, przeskanuję jeszcze ComboFixem. Swoją drogą gdzie mogę znaleść logi z ComboFixa?

Powinny znajdować się na dysku C. Jeszcze nie wszytko usunięte, więc czekam na log z ComboFixa.

No i nie podałeś drugiego logu z OTL (Extras), uzupełnij.

[Sessvisto]

To jest log Extras, który pojawił się na pulpicie:
http://wklej.eu/index.php?id=695116c440

Ogólnie to z tym ComboFixem to dziwna sprawa.
Po uruchomieniu pojawia się taki komunikat:


Jednak wygląda na to, że dokończył skanowanie. Po resecie nic się nie pojawia

a loga znaleść nie mogę. Tutaj zamieszczam screen z wyszukiwania etc. (zwróć uwagę jak wygląda plik "ComboFix" na dysku C)
http://img218.imageshack.us/img218/1576/combofixxx.jpg

[mateo8898]

Pobierz świeżą wersję ComboFixa (jeśli teraz tego nie zrobiłeś), odpal go w trybie awaryjnym i pozwól spokojnie pracować (jak będzie to samo co powyżej to poczekaj kilka minut).

[Sessvisto]

on pracuje, ale myślałem, że ten komunikat jest istotny. Jest skanowanie tak jak zawsze (jakies 10 minut), po czym komputer sie resetuje. Po wlaczeniu się ponownie komputera nie pojawia sie zaden log ani nic z tych rzeczy. A combofixa zdaje się pobrałem najnowszego, bo zrobiłem to przed chwilą, zanim załozyłem temat.

[mateo8898]

Ale w logach z OTL to tak wygląda, jakby ComboFix w ogóle nie ruszył żadnej z infekcji. Dlatego spróbuj w awaryjnym.