Win 7 Antispyware2012

Coś pod taką nazwą znalazło się na moim komputerze. Co chwila wyświetla mi komunikaty o problemach z bezpieczeństwem, czasem nie pozwala przeglądać stron internetowych.. Widziałem na forum podobne tematy, mam nadzieję, że mi też pomożecie

Logi z programu OTL:
otl.txt: http://www.wklej.eu/index.php?id=538be2d911
Extras.txt: http://www.wklej.eu/index.php?id=da464f8547

oraz z Kaspersky TDSS Killer - znalazłem informację, że mogę go użyć zamiast GMER-a, który podobno nie współpracuje z 64-bitowymi systemami:
http://www.wklej.eu/index.php?id=62bf2026de

Oczywiście jeśli potrzeba jakichś innych informacji zaraz zamieszczę

Liczę na Waszą pomoc

Słuchajcie, głupia sprawa.. Odpaliłem przywracanie systemu i problem zniknął

Chyba wszystko działa jak wcześniej, jako że w ostatnim czasie nic ważnego na komputerze nie instalowałem, to nic nie straciłem.. więc problem rozwiązał się sam

w każdym razie, dzięki że jesteście

Cieszy nas to, ale jest tu trochę kosmetycznej roboty. Jako, że przywróciłeś system to podaj nowe logi z OTL i TDSSKiller`a.

Jasna sprawa. logi z OTL:
otl.txt: http://www.wklej.eu/index.php?id=234c4de86a
Extras.txt: http://www.wklej.eu/index.php?id=d76cc3a532

TDSSKiller: http://www.wklej.eu/index.php?id=c1dfee9462

Jednak jeszcze resztki infekcji zostały.
Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod:: :OTL FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:[b]64bit:[/b] - HKU\S-1-5-21-952462658-1786804445-3670463146-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKU\S-1-5-21-952462658-1786804445-3670463146-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sticky Notes.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O8:[b]64bit:[/b] - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000 File not found O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found O8:[b]64bit:[/b] - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found O8:[b]64bit:[/b] - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found [2012/01/10 23:15:56 | 000,011,476 | -HS- | M] () -- C:\Users\Łukasz\AppData\Local\54wr8dn5v16mba861ll7l3s7b [2012/01/10 23:15:56 | 000,011,476 | -HS- | M] () -- C:\ProgramData\54wr8dn5v16mba861ll7l3s7b [2012/01/11 14:08:00 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-952462658-1786804445-3670463146-1000UA.job @Alternate Data Stream - 55920 bytes -> C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM @Alternate Data Stream - 376 bytes -> C:\WinRE{33875bcb0-c571-4ac4-9d2d-87796275a886}:$WIMMOUNTDATA O4 - HKU\S-1-5-21-952462658-1786804445-3670463146-1000..\Run: [stoappLang] C:\Users\Łukasz\AppData\Local\stoappLang\stoappLang.dll () :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LManager"=- "EgisTecLiveUpdate"=- :Commands [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Czyli najprostsze metody wcale nie są dobre:P
log z usuwania (jak mniemam): http://www.wklej.eu/index.php?id=4e8670e326
OTL.txt http://www.wklej.eu/index.php?id=94c2755d5a
Extras.txt http://www.wklej.eu/index.php?id=0ec6b7baee

Wejdź w START

UURCHOM

Msconfig

Usługi

odznacz usługę

Windows Defender.

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod:: :OTL IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5738&r=273610099436l0398z165t5721w21o IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5738&r=273610099436l0398z165t5721w21o IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5738&r=273610099436l0398z165t5721w21o IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5738&r=273610099436l0398z165t5721w21o IE - HKU\S-1-5-21-952462658-1786804445-3670463146-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5738&r=273610099436l0398z165t5721w21o IE - HKU\S-1-5-21-952462658-1786804445-3670463146-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.battlefieldheroes.com/user/login IE - HKU\S-1-5-21-952462658-1786804445-3670463146-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=;ftp=;https=; FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Łukasz\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Łukasz\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) @Alternate Data Stream - 55920 bytes -> C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM @Alternate Data Stream - 376 bytes -> C:\WinRE{33875bcb0-c571-4ac4-9d2d-87796275a886}:$WIMMOUNTDATA @Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:E3C56885 @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:5D7E5A8F @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838 @Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:4D066AD2 @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29 @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0 @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D @Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54 :Files C:\Users\Łukasz\AppData\Local\Google\Update C:\Windows\tasks\*.job C:\Windows\MusiccityDownload.exe C:\Users\Łukasz\AppData\Roaming\.# C:\Users\Łukasz\AppData\Roaming\EurekaLog C:\Users\Łukasz\AppData\Roaming\ijjigame C:\Users\ťukasz\AppData\Roaming\ijjigame :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "ArcadeDeluxeAgent"=- "StartCCC"=- [HKEY_USERS\S-1-5-21-952462658-1786804445-3670463146-1000\Software\Microsoft\Windows\CurrentVersion\Run] "Pando Media Booster"=- [HKEY_USERS\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\Software\Microsoft\Windows\CurrentVersion\RunOnce] "ScrSav"=- :Commands [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Windows Defender odznaczony, skrypt wykonany.
log z usuwania: http://www.wklej.eu/index.php?id=4d6e7a3eea
OTL.txt http://www.wklej.eu/index.php?id=81b46628df
Extras.txt http://www.wklej.eu/index.php?id=a4f83f142f

Tyle.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)

http://www.instalki.pl/programy/downloa ... rer_9.html

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 23

i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... %29_6.html

Zrobiłem wszystko zgodnie z wytycznymi

Anti-Malware znalazł kilka rzeczy które mu się nie spodobały, usunęliśmy je: http://www.wklej.eu/index.php?id=c248252ffa
Czy to koniec usuwania skutków mojej lekkomyślności?

Opróżnij kwarantannę Malwarebytes. Tak. To już wszystko.

Posadzić idiotę przy internecie i zaraz jakiegoś syfa złapie

Bardzo dziękuję za pomoc!

Przywróć ten plik z kwarantanny (chyba, że ją już opróżniłeś):

C:\Windows\KMSERVICE.EXE

Win 7 Antispyware2012

Regulamin forum

Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012

Re: Win 7 Antispyware2012