usuniecie wirusa

[robkazus]

Witam Wszystkich zainteresowanych moim problemem.Kilka dni temu mój komputer zaczął się dziwnie zachowywać bardzo sie zacinał na przeglądarce internetowej(firefox), a dzisiaj nawet bez powodu się sam zrestartował. Przeskanowałem go moim antywirusem (kaspersky) i wykrył on 2 trojany i coś tam jeszcze i oczywiście niby je usunął ale jakoś w to nie wierze dlatego proszę o pomoc i sprawdzenie logów z OTL i HIJACKthis. oto one:
OTL
http://www.wklej.eu/index.php?id=cfd305b304
EXTRAS
http://www.wklej.eu/index.php?id=1bf03252e8
HIJACKTHIS
http://www.wklej.eu/index.php?id=1fcde09ef5


Prosze tylko o pisanie zrozumiale bo ja nie jestem jakimś biegłym komputerowcem tylko pamiętam coś z combofixem jakieś kopiowanie wklejanie, ale to było dawno temu.pozdrawiam i wesołych świąt!

[mateo8898]

Odinstaluj qone8 Browser Protecter. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
MOD - [2013-11-07 03:47:00 | 001,972,304 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\taskmrg.exe
MOD - [2013-11-07 03:47:00 | 000,599,040 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\backtrace.dll
MOD - [2013-11-07 03:47:00 | 000,369,664 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libcurl-4.dll
MOD - [2013-11-07 03:47:00 | 000,314,368 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libevent-2-0-5.dll
MOD - [2013-11-07 03:47:00 | 000,132,096 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libplibc-1.dll
MOD - [2013-11-07 03:47:00 | 000,109,568 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\zlib1.dll
MOD - [2013-11-07 03:47:00 | 000,102,912 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\pdcurses.dll
MOD - [2013-11-07 03:47:00 | 000,082,944 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libmicrohttpd-10.dll
MOD - [2013-11-07 03:47:00 | 000,052,736 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libjansson-4.dll
MOD - [2013-11-07 03:47:00 | 000,043,854 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libblkmaker-0.1-0.dll
MOD - [2013-11-07 03:47:00 | 000,038,190 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libblkmaker_jansson-0.1-0.dll
MOD - [2013-11-07 03:47:00 | 000,015,360 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\Opencl\libhidapi-0.dll
MOD - [2013-09-19 03:39:36 | 001,688,723 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\bfgminer.exe
MOD - [2013-09-19 03:39:36 | 000,599,040 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\backtrace.dll
MOD - [2013-09-19 03:39:36 | 000,369,664 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libcurl-4.dll
MOD - [2013-09-19 03:39:36 | 000,132,096 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libplibc-1.dll
MOD - [2013-09-19 03:39:36 | 000,109,568 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\zlib1.dll
MOD - [2013-09-19 03:39:36 | 000,102,912 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\pdcurses.dll
MOD - [2013-09-19 03:39:36 | 000,082,944 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libmicrohttpd-10.dll
MOD - [2013-09-19 03:39:36 | 000,052,736 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libjansson-4.dll
MOD - [2013-09-19 03:39:36 | 000,044,781 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libblkmaker-0.1-0.dll
MOD - [2013-09-19 03:39:36 | 000,040,717 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\minerd\libblkmaker_jansson-0.1-0.dll
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=1382528020&from=cor&uid=WDCXWD5000AVJS-63TRA0_WD-WCAPW490925409254&q={searchTerms}
O4 - HKCU..\Run: [minerd] C:\Users\Właściciel\AppData\Roaming\minerd\nircmd.exe (NirSoft)
O4 - HKCU..\Run: [Opencl] C:\Users\Właściciel\AppData\Roaming\Opencl\nircmd.exe (NirSoft)
[2013-10-23 12:33:40 | 000,694,864 | ---- | C] (WilSys Co., Ltd.) -- C:\Users\Właściciel\AppData\Roaming\qone8.exe
[2013-12-24 16:33:00 | 000,000,308 | ---- | M] () -- C:\Windows\tasks\DigitalSite.job
[2013-12-24 15:33:06 | 000,000,102 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\WB.CFG
[2013-12-24 15:33:05 | 000,000,006 | ---- | M] () -- C:\Users\Właściciel\AppData\Roaming\WBPU-TTL.DAT

:Files
C:\ProgramData\eSafe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[robkazus]

Witam wykonałem wszystko co mi kazałeś i oto logi:


raport z usuwania
http://www.wklej.eu/index.php?id=660d94cc74

nowy log z OTL:
http://www.wklej.eu/index.php?id=89ae14133d

pozdrawiam

[mateo8898]

Wklej w OTL:

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1580014734-1479623805-1116131239-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Services
WsysSvc

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"=-

Klikasz Wykonaj skrypt, następnie Sprzątanie

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

[robkazus]

Witam zrobiłem wszystko wykryto 21 zagrożeń usunąłem wszystkie i oto logi:
http://www.wklej.eu/index.php?id=61d6379a70

[mateo8898]

Nie wykonano akcji.

Usunąłeś to co znalazł Malwarebytes??? Jeśli nie to usuń i opróżnij jego kwarantannę.

[robkazus]

przepraszam dałem Ci zły log teraz ten jest dobry no i wszystko usunąłem z kwarantanny :

http://www.wklej.eu/index.php?id=24ad71046b

[mateo8898]

Teraz ok. Czy problemy ustąpiły??

[robkazus]

witam było lepiej ale wczoraj miałem problemy z zamknięciem systemu niby monitor gasł ale komputer dalej pracował po czym uruchomił mi się od nowa z raportem że system odzyskał sprawność po fatalnym błędzie. A dzisiaj miałem juz dwa bluscreeny i dzieje sie to na firefoxie. Normalnie jak włacze gre to komputer chodzi bez problemu a na przeglądarce kursor staje i albo bluscreen albo restart i raport o błędzie.Już nie wiem co robić chyba format będzie najlepszy.

[mateo8898]

chyba format będzie najlepszy

Chyba nie.

Czy problem występuje na innych przeglądarkach??

[robkazus]

Witam no własnie wczoraj odinstalowałem firefoxa i narazie spokój wszystko ustąpiło.Skanowałem kasperskim przez noc i też nic nie wykryło więc myśle że będzie ok.

[robkazus]

Witam brak problemów wszystko działa jak powinno. Dziękuje za pomoc i Szczęśliwego Nowego Roku!!!