Forum
Archiwum
Archiwum

Mały problem

Utwórz nowy wątekOdpowiedz
Mnich
#1
A więc, przeszukuję dziś internet i nagle wyskakuje mi jakieś powiadomienie że na moim komputerze może roić się od wirusów. Jakiś program zaproponował mi szybkie skanowanie, zgodziłem się i ku mojemu zdziwieniu cały dysk "C" został zaspamiony wirusami. Według tego programu wirusy, trojany i inne bestie tego pokroju znalazły się nie tylko na tym dysku. Robię teraz skanowanie Avastem, jak do tej pory nic nie znalazł. Poza tym gdy wchodzę np. na MT wyskakuje mi czerwona strona z takim napisem : "This website has been reported as unsafe". Czy to wina tego programu, który robi mnie w konia czy może naprawdę mam komputer zawalony wirusami? Ciągle trwa skanowanie i mimo że nic narazie nie znaleziono to ta cała sytuacja nie podoba mi się...

Edit:

Zrobiłem screena skanu z tego programu :
Obrazek

Edit2:
Poczytałem troche w necie o tym programie, okazuje się że to jeden wielki szajs który instaluje się za pomocą jakiegos trojana... Do tego znikł mi pulpit :-/

Edit3:
Teraz nie moge otworzyć nawet GG albo programów które są polecane do usuwania tego gówna..
muore il bandito, la mafia vive
Mnich
#2
Logi:
http://wklej.org/id/337784/
http://wklej.org/id/337785/

Nowe :
http://wklej.org/id/337801/
http://wklej.org/id/337802/
muore il bandito, la mafia vive
Maf
#3
Do Custom scans/fixes w OTL wklej skrypt:
Kod:
:OTL
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Livebox\SearchURLHook\SearchPageURL.dll ()
[2009-12-19 13:52:56 | 000,000,000 | ---D | M] (XfireXO Toolbar) -- C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
O2 - BHO: (&Security Update) - {35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC} - C:\WINDOWS\system32\win32extension.dll ()
O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\tbXfi1.dll (Conduit Ltd.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Użytkownik\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll (GG Network S.A.)
O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\tbXfi1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Program Files\XfireXO\tbXfi1.dll (Conduit Ltd.)
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
@Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:44807EFA
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

:Files
C:\Program Files\Common Files\PersonSecurityUninstall
C:\Program Files\PersonSecurity
C:\Documents and Settings\All Users\Dane aplikacji\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
C:\WINDOWS\System32\win32extension.dll
C:\Documents and Settings\Użytkownik\Pulpit\Personal Security.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"10243:TCP"=-
"10280:UDP"=-
"10281:UDP"=-
"10282:UDP"=-
"10283:UDP"=-
"10284:UDP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"10243:TCP"=-
"10280:UDP"=-
"10281:UDP"=-
"10282:UDP"=-
"10283:UDP"=-
"10284:UDP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
"EnableFirewall"=dword:00000001
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PersonSecurity]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://google.pl/"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij Run Fix. Po ponownym uruchomieniu wyskoczy log - wklej go do odpowiedzi (link na wklej.org).

Jeśli amsz na komputerze Malwarebytes' - odinstaluj ją. Ściągnij nową (link), zaktualizuj i zrób szybkie skanowanie. Usuń zagrożenia (o ile będą). Wyskoczy log - wklej go na wklej.org i dodaj link do odpowiedzi.
Mnich
#4
Po restarcie kompa wyskoczyło coś takiego :

Kod:
Files\Folders moved on Reboot...
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\searchplugin folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\META-INF folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\lib folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\defaults folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\chrome folder moved successfully.
C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} folder moved successfully.
File\Folder C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\~DF955.tmp not found!
File\Folder C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\~DF98E.tmp not found!
File\Folder C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\~DFA9D.tmp not found!
File\Folder C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\~DFAE5.tmp not found!

Registry entries deleted on Reboot...


Edit.
To w górze chyba już nie ważne. To wyskoczyło po restarcie :
http://wklej.org/id/337819/

Skanowanie Malware :
http://wklej.org/id/337822/
muore il bandito, la mafia vive
Maf
#5
  1. Odinstaluj programy przez panel "Dodaj/usuń programy":
    • Google Toolbar for Internet Explorer
    • System Requirements Lab
    • Wszystko co ma w nazwie Java - po tym zainstaluj najnowszą wersję: Link
    • Adobe Reader 7.0.5 - Polish - po tym zainstaluj najnowszą wersję: Link
    • XfireXO Toolbar
  2. Wyłącz Avasta.
  3. Ściągnij ESET Online Scanner:
    http://download.eset.com/special/eos/esetsmartinstaller_plk.exe
  4. Uruchom, zaakceptuj umowę. Rozpocznie się pobieranie i instalowanie komponentów.
  5. Upewnij się, że zaznaczona jest opcja "Usuń znalezione zagrożenia" i kliknij Uruchom.
  6. Po zakończeniu skanowania zamknij program i przejdź do C:\Program Files\ESET\ESET Online Scanner i na wklej.org wklej zawartość pliku log.txt.
  7. Zrób nowe logi przez OTL z ustawieniami jak poprzednio.
Mnich
#6
Skan z Eseta :
http://wklej.org/id/338197/

Log OTL :
http://wklej.org/id/338209/

Edit.
Nowe logi :
http://wklej.org/id/338258/
http://wklej.org/id/338259/
muore il bandito, la mafia vive
Maf
#7
Teraz trochę czyszczenia i optymalizacji.
  1. Odinstaluj z panelu:
    • eBay Icon
    • ESET Online Scanner v3
    • McAfee Security Scan
  2. Ściągnij i uruchom narzędzie Norton Removal Tool, żeby usunąć resztki od Symanteca:
    ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe
  3. Do Custom scans/fixes w OTL wklej skrypt:
    Kod:
    :OTL
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
    O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.64.0.cab (SysInfo Class)
    O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab (Reg Error: Key error.)
    O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.1.66.0.cab (Reg Error: Key error.)

    :Files
    C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
    C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan.lnk
    C:\Documents and Settings\Użytkownik\Menu Start\Programy\Autostart\OpenOffice.org 1.1.3.lnk

    :Reg
    [HKEY_CURRENT_USER\Control Panel\Desktop]
    "AutoEndTasks"="1"
    "WaitToKillAppTimeout"="5000"
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
    "WaitToKillServiceTimeout"="5000"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
    "Start"=dword:00000004
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cisvc]
    "Start"=dword:00000004
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysMonLog]
    "Start"=dword:00000004
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
    "Start"=dword:00000004
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
    "Start"=dword:00000003
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.js]
    @="JSFile"

    :Commands
    [emptytemp]

    Kliknij Run Fix. Po restarcie wyskoczy log - wklej go.
Mnich
#8
Log :
http://wklej.org/id/338279/
muore il bandito, la mafia vive
Maf
#9
Uruchom jeszcze OTL i kliknij na CleanUp. Jak teraz chodzi komputer?
Mnich
#10
No napewno nieco szybciej. Dzięki Mafioso, myślałem że ten cholerny program zniszczy mój komputer.
Można zamknąć temat jeżeli to wszystko w tej sprawie.
muore il bandito, la mafia vive
Maf
#11
To wszystko. Temat trafia do archiwum.
Utwórz nowy wątekOdpowiedz