Wirus - zablokowany pulpit

przez **magnitiusz9999** » 11 Lis 2012, 19:22

Komputer zablokowany przez kupon ukash prosze o pomoc podaje logi:

OTL- http://www.wklej.eu/index.php?id=3a2a56cff9
EXTRAS- http://www.wklej.eu/index.php?id=ae151595fa

przez **mateo8898** » 11 Lis 2012, 19:35

Regulamin forum
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.

Temat wydzielam.

Brak także wymaganego logu z Gmer

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736, uzupełnij.
1. Odinstaluj: SweetIM Toolbar for Internet Explorer, BitTorrentBar Toolbar, My Global Search Bar, facemoods, Softonic toolbar on IE and Chrome, V9 HomeTool
2. Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL SRV - [2008-03-28 10:56:18 | 000,667,136 | ---- | M] () [Auto | Stopped] -- H:\WINDOWS\update.exe -- (Live) SRV - [2006-05-24 20:10:42 | 000,154,624 | ---- | M] () [Auto | Stopped] -- H:\WINDOWS\system32\hyfo.exe -- (aeoscfaasioiup) DRV - File not found [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\XDva092.sys -- (XDva092) DRV - File not found [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\SSHDRV65.sys -- (SSHDRV65) DRV - File not found [Kernel | System | Stopped] -- -- (ntiomin) DRV - File not found [Kernel | On_Demand | Stopped] -- H:\Program Files\mayasMU\MuGuard\llck.sys -- (LLRING0) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fgdxbus.sys -- (fgdxbus) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331050063_293282 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1331050063_293282 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331050063_293282 IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2790392 IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\..\SearchScopes\${searchCLSID}: "URL" = http://search.yahoo.com/search?ei=ISO-8859-1&fr=megaup&q={searchTerms} IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1123561945-261478967-839522115-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.param.yahoo-fr: "megaup" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup" FF - prefs.js..browser.search.selectedEngine: "Search the web (Softonic)" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found [2012-05-18 13:52:18 | 000,000,000 | ---D | M] (Winamp Toolbar) -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-11-11 17:06:28 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2008-07-31 09:41:38 | 000,000,000 | ---D | M] ("Megaupload Toolbar") -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\extensions\{991A772A-BA13-4c1d-A9EF-F897F31DEC7D} [2012-03-13 20:23:52 | 000,000,000 | ---D | M] (Softonic Toolbar) -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\extensions\[email protected] [2011-11-10 17:21:06 | 000,000,863 | ---- | M] () -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\searchplugins\conduit.xml [2012-07-31 06:59:58 | 000,002,519 | ---- | M] () -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\searchplugins\Search_Results.xml [2012-03-13 20:23:49 | 000,002,060 | ---- | M] () -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\searchplugins\softonic.xml [2012-01-11 20:39:02 | 000,003,915 | ---- | M] () -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\searchplugins\sweetim.xml [2009-03-16 07:31:01 | 000,001,196 | ---- | M] () -- H:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\79frzso9.default\searchplugins\winamp-search.xml [2012-03-08 17:43:50 | 000,002,298 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-08 10:37:07 | 000,001,406 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml [2012-07-31 06:59:58 | 000,002,519 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-03-06 17:07:43 | 000,002,415 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [BigDog303] H:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found O4 - HKLM..\Run: [hakoul] H:\WINDOWS\system32\noofizawut.exe () O4 - HKLM..\Run: [HomePage] C:\Windows\Helphosti.exe File not found O4 - HKLM..\Run: [kgifxvdtugnfsvm] H:\Documents and Settings\All Users\Dane aplikacji\kgifxvdtugnfsvmvaods.exe () O4 - HKLM..\Run: [MS32DLL] H:\WINDOWS\MS32DLL.dll.vbs File not found O4 - HKLM..\Run: [TabbtnEx] H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4665\TabbtnEx.exe () O4 - HKLM..\Run: [tguard] H:\Program Files\WebLock\tguard.exe File not found O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [AQQ] H:\PROGRA~1\WapSter\AQQ\AQQ.exe File not found O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [EA Core] "H:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [kgifxvdtugnfsvm] H:\Documents and Settings\All Users\Dane aplikacji\kgifxvdtugnfsvmvaods.exe () O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [Komunikator] H:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [PCSpeedUp] H:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk () O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\Run: [vmreg] H:\Documents and Settings\Damian\Dane aplikacji\vmreg.exe () O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\RunOnce: [!SearchquDSFF] H:\Documents and Settings\Damian\Ustawienia lokalne\Temp\SRAssetsHelper.dll () O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\RunOnce: [!SearchquFFHP] H:\Documents and Settings\Damian\Ustawienia lokalne\Temp\installhelper.dll () O4 - HKU\S-1-5-21-1123561945-261478967-839522115-1003..\RunOnce: [036DFF35028B092A0044BBBA4A174311] H:\Documents and Settings\All Users\Dane aplikacji\036DFF35028B092A0044BBBA4A174311\036DFF35028B092A0044BBBA4A174311.exe File not found O4 - Startup: H:\Documents and Settings\Damian\Menu Start\Programy\Autostart\Product Registration.lnk = File not found O4 - Startup: H:\Documents and Settings\Damian\Menu Start\Programy\Autostart\Sid Registration.lnk = File not found O4 - Startup: H:\Documents and Settings\Damian\Menu Start\Programy\Autostart\windate.exe () O4 - Startup: H:\Documents and Settings\Damian\Menu Start\Programy\Autostart\xpp32.exe () O8 - Extra context menu item: &Pobierz wszystko przez FlashGet - H:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm File not found O8 - Extra context menu item: &Pobrane przez FlashGet - H:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm File not found O16 - DPF: DirectAnimation Java Classes file://H:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://H:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O32 - AutoRun File - [2010-08-17 15:23:08 | 000,000,104 | ---- | M] () - H:\autorun.inf -- [ NTFS ] O37 - HKU\S-1-5-21-1123561945-261478967-839522115-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found [2012-05-29 10:26:56 | 000,057,344 | ---- | C] () -- H:\WINDOWS\explorer_new.exe [2012-05-29 10:26:55 | 000,057,344 | ---- | C] () -- H:\WINDOWS\kgifxvdtugnfsvmvaods.exe [2012-07-29 10:43:06 | 000,154,624 | ---- | C] () -- H:\WINDOWS\System32\noofizawut.exe [2012-05-29 10:26:52 | 000,057,344 | ---- | C] () -- H:\Documents and Settings\Damian\0.552432711434479.exe [2012-05-29 10:26:52 | 000,000,480 | ---- | C] () -- H:\Documents and Settings\All Users\Dane aplikacji\bzeyezfpblwvkka [2012-02-28 16:34:58 | 041,402,368 | ---- | C] () -- H:\Documents and Settings\All Users\Dane aplikacji\Tibia_spr.bak [2012-02-28 16:33:36 | 000,473,662 | ---- | C] () -- H:\Documents and Settings\All Users\Dane aplikacji\Tibia_dat.bak [2012-01-28 18:45:44 | 000,460,624 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\promo.exe [2011-12-15 09:23:14 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\rga.exe [2011-12-15 09:20:49 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\osk.exe [2011-12-15 09:20:10 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\pqn.exe [2011-12-15 09:17:37 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\xmw.exe [2011-12-15 09:16:47 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\hwm.exe [2011-12-15 09:15:56 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\axr.exe [2011-12-15 09:07:50 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\pqo.exe [2011-12-13 09:27:23 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\fci.exe [2011-12-13 09:27:01 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\ncs.exe [2011-12-13 09:25:53 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\jlt.exe [2011-12-13 09:24:17 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\eel.exe [2011-12-13 07:52:57 | 000,326,656 | ---- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\ydx.exe [2011-12-13 07:52:57 | 000,014,550 | -HS- | C] () -- H:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\3ddvg662y83211a2x1551bop1itf163 [2011-12-13 07:52:57 | 000,014,550 | -HS- | C] () -- H:\Documents and Settings\All Users\Dane aplikacji\3ddvg662y83211a2x1551bop1itf163 [2011-11-29 20:39:11 | 000,040,960 | ---- | C] () -- H:\WINDOWS\enigma.dll [2011-11-10 13:07:35 | 000,000,238 | ---- | C] () -- H:\WINDOWS\mafosav.INI [2011-11-08 14:55:11 | 000,514,321 | ---- | C] () -- H:\WINDOWS\windate.exe [2011-11-08 14:55:11 | 000,105,760 | ---- | C] () -- H:\WINDOWS\os4.exe [2011-11-08 14:55:11 | 000,059,904 | ---- | C] () -- H:\WINDOWS\zlib1.dll [2011-11-08 14:55:10 | 000,000,319 | ---- | C] () -- H:\WINDOWS\Last.dat [2011-11-08 14:55:10 | 000,000,031 | ---- | C] () -- H:\WINDOWS\memlist.dat [2011-11-08 14:55:10 | 000,000,009 | ---- | C] () -- H:\WINDOWS\Language.dat [2011-11-08 14:55:10 | 000,000,004 | ---- | C] () -- H:\WINDOWS\test.dat [2011-11-08 14:54:00 | 000,058,880 | -H-- | C] () -- H:\Documents and Settings\Damian\Dane aplikacji\vmreg.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + log z Autoruns

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589

Kolejność jak podałem.

przez **magnitiusz9999** » 11 Lis 2012, 21:40

uzupelniam brakujace pliki:

http://www16.zippyshare.com/v/25526588/file.html -autoruns

GMER - http://www.wklej.eu/index.php?id=3f2f7c185f

przez **mateo8898** » 12 Lis 2012, 14:17

A logi z OTL??

przez **magnitiusz9999** » 12 Lis 2012, 14:43

logi te co wczesniej pisalem na poczatku no chyba ze chodzi ci o jakies inne jak tak to naprowadz ktore(a najlepiej jakim programem je uzyskac) bo ja pierwszy raz w zyciu to robie wiec prosze o wyrozumialosc

przez **mateo8898** » 12 Lis 2012, 14:46

Jeśli wykonałeś skrypt to po prostu robisz nowe logi przez OTL opcją Skanuj

przez **magnitiusz9999** » 12 Lis 2012, 15:24

naprawiony podaje loga

http://www.wklej.eu/index.php?id=490d5adbaf - otl

przez **mateo8898** » 12 Lis 2012, 15:31

I ok, teraz wykonaj nowe logi opcją Skanuj oraz nowy log z Autoruns (ten, który już podałeś jest sprzed wykonania skryptu).

przez **magnitiusz9999** » 12 Lis 2012, 17:04

wiem wiem juz podaje wlasciwe :

autoruns- http://www27.zippyshare.com/v/21842886/file.html
GMER- http://www.wklej.eu/index.php?id=10552a3c5d

przez **mateo8898** » 12 Lis 2012, 17:12

OTL nadal nie podałeś....

przez **magnitiusz9999** » 12 Lis 2012, 17:24

mam nadzieje ze ty juz wszystko :

otl- http://www.wklej.eu/index.php?id=d40c728f2e

extras- http://www.wklej.eu/index.php?id=ee308d0891

przez **mateo8898** » 12 Lis 2012, 19:02

W Autoruns odznacz i usuń:
zakładka Logon:

GrooveMonitor
HotKeysCmds
IgfxTray
InCD
NeroCheck
Persistence
RoxioDragToDisc
RTHDCPL
StartCCC
SunJavaUpdateSched
SweetIM
PowerReg Scheduler V3.exe
Książka adresowa 6
Microsoft Outlook Express 6
ALLUpdate
ISUSPM
MSMSGS

zakładka Internet Explorer:

My Global Search Bar BHO
My Global Search Bar

zakładka Scheduled Tasks:

wszystko

zakładka Services (tylko odznacz):

InCDsrv
JavaQuickStarterService
Microsoft Office Groove Audit Service
odserv
ose

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj antywira

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)

http://www.instalki.pl/programy/downloa ... _8_XP.html

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj Firefoksa do najnowszej wersji

https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

przez **magnitiusz9999** » 12 Lis 2012, 23:09

podaje raport http://www.wklej.eu/index.php?id=3430814fc5

przez **mateo8898** » 13 Lis 2012, 16:15

Dlaczego nie usunąłeś wszystkiego, co znalazł Malwarebytes???

przez **magnitiusz9999** » 14 Lis 2012, 08:28

no bo byly jakies pilki systemowe z windows i myslalem ze sie zepsuje system ale jak mowisz zeby usunac to zrobie znowu skan i usune

Wirus - zablokowany pulpit

Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Re: Wirus - zablokowany pulpit

Kto jest na forum