Wirus: blokuje programy

INSTALKI.pl - programy, gry, sterowniki

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.

Regulamin forum

1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź
 
yorimo
  • yorimo
  • Posty: 1
  • Dołączenie: 19 Lut 2012, 12:50

Wirus: blokuje programy

19 Lut 2012, 13:16

Witam , mam strasznie złośliwego wirusa... komputer był używany z niewiadomych przyczyn bez antywirusa :!: . Więc ogólnie głównym wrogiem jest ten o opcjonalnej nazwie "internet security" Podając się za antywirusa i wyszukując nie wiadomo jakie wirusy. Do tego blokuje wszystkie programy w komputerze. Nic się nie da zrobić. Zrobiłem logi w trybie awaryjnym.
Proszę o pomoc , chciałbym jakoś usunąć tego wirusa. Wiem , że format to ostateczność , nie chce go robić :|

OTL: http://www.wklej.eu/index.php?id=74b2d02f6f


GMER: http://www.wklej.eu/index.php?id=44e64db29c



//EDIT
Po restarcie nagle nie pojawia sie ten wirus i moge otwierac programy, zrobie skan w normalnym trybie . AHA mam też ten denerwujący qooqlle.com na stronach startowych przegladaerek.

OTL NOWE: http://www.wklej.eu/index.php?id=28a91f18d8
 
kominekl
  • kominekl
  • Posty: 4530
  • Dołączenie: 03 Sty 2010, 16:07
  • Miejscowość: Pasztowa Wola Kolonia
  • Strona WWW

Re: Wirus - blokujce programy

19 Lut 2012, 13:45

Rzeczywiście. Infekcja goni infekcje. W tym przypadku zastosuj program Combofix -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i przedstaw log z jego pracy. Następnie podaj nowe logi z OTL, wykonane dokładnie wedle instrukcji -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754.
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: Wirus - blokujce programy

19 Lut 2012, 19:12

Wstrzymaj się jeszcze z tym ComboFixem. Jak OTL nie da rady, to wtedy po niego ewentualnie sięgniemy.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
MOD - [2012-02-19 09:06:44 | 000,182,784 | ---- | M] () -- C:\Program Files\C46D6\lvvm.exe
MOD - [2012-02-10 13:30:27 | 000,281,600 | ---- | M] () -- C:\Program Files\LP\B110\41D.exe
MOD - [2012-02-10 13:29:17 | 000,167,424 | ---- | M] () -- C:\Users\fucker\AppData\Roaming\040C4\B60B1.exe
MOD - [2011-12-17 11:12:31 | 000,066,048 | ---- | M] () -- C:\ProgramData\mctmac.exe
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:56061
FF - prefs.js..browser.search.selectedEngine: "Search Defender"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
FF - prefs.js..network.proxy.backup.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ftp_port: 9666
FF - prefs.js..network.proxy.backup.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.backup.gopher_port: 9666
FF - prefs.js..network.proxy.backup.socks: "127.0.0.1"
FF - prefs.js..network.proxy.backup.socks_port: 9666
FF - prefs.js..network.proxy.backup.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ssl_port: 9666
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 9666
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 9666
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 9666
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 9666
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 56061
FF - prefs.js..network.proxy.type: 1
[2011-05-21 08:27:42 | 000,002,567 | ---- | M] () -- C:\Users\fucker\AppData\Roaming\Mozilla\Firefox\Profiles\x90i4xm4.default\searchplugins\askcom.xml
[2012-02-19 08:59:26 | 000,001,860 | ---- | M] () -- C:\Users\fucker\AppData\Roaming\Mozilla\Firefox\Profiles\x90i4xm4.default\searchplugins\qooqlle.xml
[2012-02-19 12:30:23 | 000,002,689 | ---- | M] () -- C:\Users\fucker\AppData\Roaming\Mozilla\Firefox\Profiles\x90i4xm4.default\searchplugins\search-defender.xml
[2011-05-21 06:27:40 | 000,001,860 | ---- | M] () -- C:\Users\fucker\AppData\Roaming\Mozilla\Firefox\Profiles\x90i4xm4.default\searchplugins\search.xml
[2011-06-15 23:18:17 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-02-19 10:21:29 | 000,000,000 | ---D | M] (Browser Defender Toolbar) -- C:\PROGRAM FILES\PC TOOLS\PC TOOLS SECURITY\BDT\FIREFOX
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [\exprss.exe] C:\Users\fucker\AppData\Roaming\exprss.exe ()
O4 - HKLM..\Run: [\mctmac.exe] C:\ProgramData\mctmac.exe ()
O4 - HKLM..\Run: [41D.exe] C:\Program Files\LP\B110\41D.exe ()
O4 - HKLM..\Run: [jusched] C:\ProgramData\mctmac.exe ()
O4 - HKCU..\Run: [\exprss.exe] C:\Users\fucker\AppData\Roaming\exprss.exe ()
O4 - HKCU..\Run: [\mctmac.exe] C:\ProgramData\mctmac.exe ()
O4 - HKCU..\Run: [Internet Security] C:\ProgramData\isecurity.exe ()
O4 - HKCU..\Run: [jusched] C:\ProgramData\mctmac.exe ()
O4 - Startup: C:\Users\fucker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Matrix_ Path of Neo Registration.lnk = File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: WinRAR SFX = C:\Users\fucker\AppData\Roaming\csrss.exe ()
[2012-02-19 12:29:00 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012-02-19 12:27:45 | 000,001,032 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012-02-18 19:39:20 | 000,000,638 | ---- | M] () -- C:\Users\Public\Desktop\Internet Security.lnk
[2012-02-18 19:39:19 | 000,842,240 | ---- | M] () -- C:\ProgramData\isecurity.exe
[2010-08-12 18:44:33 | 000,002,432 | ---- | C] () -- C:\Users\fucker\AppData\Local\TempUU1576.html
[2010-08-12 18:44:33 | 000,002,089 | ---- | C] () -- C:\Users\fucker\AppData\Local\TempKV1576.html
[2010-08-08 19:22:54 | 000,002,432 | ---- | C] () -- C:\Users\fucker\AppData\Local\TempqO4000.html
[2010-08-08 19:22:54 | 000,002,089 | ---- | C] () -- C:\Users\fucker\AppData\Local\TempWk4000.html
[2010-08-01 17:54:13 | 000,002,432 | ---- | C] () -- C:\Users\fucker\AppData\Local\Temptz2956.html
[2010-07-31 13:37:07 | 000,002,432 | ---- | C] () -- C:\Users\fucker\AppData\Local\TempyC1940.html
[2010-07-19 21:43:40 | 000,002,432 | ---- | C] () -- C:\Users\fucker\AppData\Local\TemptU1952.html
[2012-02-10 13:29:17 | 000,000,000 | ---D | M] -- C:\Users\fucker\AppData\Roaming\040C4

:Files
C:\Program Files\LP
C:\Program Files\C46D6

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (tylko zrób je wg. tej instrukcji -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i podaj obydwa logi).
Wyślij odpowiedź
Switch to full style

Powered by phpBB © phpBB Group.

phpBB Mobile / SEO by Artodia.

Strona główna