Win 7 Internet Security 2012 - usunięcie wirusa

Witam, podpinam się pod temat.
Złapałem tego samego vira, choć udało mi się mniej więcej opanować sytuację, to jest jeszcze parę problemów.
Mianowicie przy odpaleniu systemu pojawia się taki komunikat jak na zdjęciu http://i42.tinypic.com/357k5y9.jpg

Następny problem jest taki, że nie mogę usunąć ask toolbar updater.exe i wyświetla się taki komunikat http://i44.tinypic.com/k4xff7.jpg
Skoro ja nie jestem adminem to kto? pewnie Vir?

Proszę o pomoc kogoś to jest obeznany w temacie, daję poniżej skany z OTL'a GMER'a i COMBOFIX'A


OTL http://wklej.org/id/705277/

GMER http://wklej.org/id/705280/

COMBOFIX http://wklej.org/id/705281/

Jeśli widać coś podejrzanego to proszę o pomoc, liczę na Was

Pozdrawiam !

Odinstaluj Ask Toolbar.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=WCV5&o=13757&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=W3&apn_dtid=YYYYYYYYPL&apn_uid=980BB2B7-4E7F-4E4B-89DA-6EC5F36A6332&apn_sauid=1D811D31-7327-4198-B41B-4A8A5F0B2D7F
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=WCV5&o=13757&locale=en_US&apn_uid=980BB2B7-4E7F-4E4B-89DA-6EC5F36A6332&apn_ptnrs=W3&apn_sauid=1D811D31-7327-4198-B41B-4A8A5F0B2D7F&apn_dtid=YYYYYYYYPL&q="
FF - prefs.js..network.proxy.backup.ftp: "24.23.29.41"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "24.23.29.41"
FF - prefs.js..network.proxy.backup.gopher_port: 8080
FF - prefs.js..network.proxy.backup.socks: "24.23.29.41"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "24.23.29.41"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "212.100.209.50"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "212.100.209.50"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "212.100.209.50"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "212.100.209.50"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "212.100.209.50"
FF - prefs.js..network.proxy.ssl_port: 8080
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
[2011-01-07 11:22:43 | 000,000,000 | ---D | M] (BitComet Video Downloader) -- C:\Users\Killer\AppData\Roaming\mozilla\Firefox\Profiles\9a7hye6x.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
[2011-12-23 21:26:41 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Killer\AppData\Roaming\mozilla\Firefox\Profiles\9a7hye6x.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010-10-27 21:33:36 | 000,002,568 | ---- | M] () -- C:\Users\Killer\AppData\Roaming\Mozilla\Firefox\Profiles\9a7hye6x.default\searchplugins\askcom.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Killer\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Program Files (x86)\Google\Update
C:\Qoobox
C:\Users\Public\Desktop\Internet Security.lnk
C:\Windows\temp
C:\Users\Killer\Desktop\xd2.exe
C:\Windows\tasks\*.job
C:\Users\Killer\AppData\Local\Temp*.html
c:\users\Public\AppData\Local\temp
c:\users\Default\AppData\Local\temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

A więc tak, dzięki za zainteresowanie tematem.
Logów z usuwania OTL'em niestety nie mam kurde, coś skopałem -tzn. zamknąłem i nie wiem gdzie one teraz mogą być, pewnie nie zapisały się.

Ponowne Logi z OTL http://wklej.org/id/705372/

a tutaj log z tego programu Autoruns http://www38.zippyshare.com/v/60002255/file.html
Był mały problem z wypakowaniem tego pliku na pulpicie bo niby nie mógł znaleźć ścieżki, ale udało wypakować się w innym folderze.
Ask Toolbar udało się usunąć ale Ask Toolbar Updater jest nadal nietykalny i radzi skonsultować to z adminem

Pozdrawiam.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy AdobeAAMUpdater-1.0, Adobe ARM, AdobeCS5ServiceManager, amd_dc_opt, AsioThk32Reg, GrooveMonitor, SunJavaUpdateSched, SwitchBoard, UVS11 Preload Ulead VideoStudio, vmware-tray, Aktywacja Testera.lnk, AV Voice Changer Updater.exe, Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk, Microsoft Windows, Microsoft Windows, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}, DAEMON Tools Lite, MBAMShlExt, NvCplDesktopContext, Java(tm) Plug-In 2 SSV Helper, Windows Live ID Sign-in Helper, Adobe PDF Link Helper, Groove GFS Browser Helper, Java(tm) Plug-In 2 SSV Helper, Skype Browser Helper, Windows Live ID Sign-in Helper, wszystko z zakładki Task Scheduler, AdobeARMservice, gupdate, gupdatem, SkypeUpdate, Stereo Service, WinDefend, AVFSFilter i WFLR6654. Następnie wykonaj ponownie skrypt w OTL w trybie awaryjnym nie pomijając początku :OTL. Następnie podaj log z usuwania (pokazujący się po restarcie) i nowe logi z OTL.

Tzn. te podane wpisy mam usunąć czy je odznaczyć i nie usuwać?

odznacz, a następnie usuń

Tutaj logi z usuwania http://wklej.org/id/705899/
a tutaj ponowny skan http://wklej.org/id/705900/

Dodam, że przy starcie już nie pojawia się komunikat odnośnie zabezpieczeń i system ładuje się jakby o wiele sprawniej

Także już dzięki stokrotne !!!
Tylko teraz takie pytanie, jakie jest podłoże tego wirusa? w zasadzie u mnie problem rozpoczął się nagle podczas przeglądania zdjęć na googlach, jak go unikać na przyszłość?

Pozdrawiam.

W OTL wklej:

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 94.251.182.30:8080
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2012-03-09 12:18:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\v9Soft

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"AdobeCS5ServiceManager"=-

:Files
c:\users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (mają być dwa: OTL.txt i Extras.txt, instrukcję masz tu otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754)

Logi z OTL na zippyshare http://www32.zippyshare.com/v/31245029/file.html


log z extra udało się wrzucić http://wklej.org/id/705928/

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP1 http://www.instalki.pl/programy/downloa ... ack_1.html

Zainstaluj jakiegoś antywira.

Proponuję także odinstalować Spybot - Search & Destroy, obecnie to staroć.

Dziękuję Wam bardzo za poratowanie mnie
Czyli można w tej chwili powiedzieć, że komp jest czysty ?

Jak najbardziej tak .

Jeszcze raz stokrotne dzięki za pomoc i wszystkie rady !