Jakiś wirus czy coś ;/

Sigal^^ · 19 Maja 2014

Witam.Mój kolega od nie dawna złapał jakiegoś wirusa i nie wiem o co zbyt chodzi...Nie można włączyć przeglądarki i niektórych plików , gier ..Nie mogłem sobie z tym poradzić więc pisze z prośbą do was

Załączam rożne logi.

a tutaj link do GMER :

http://www4.zippyshare.com/v/49545654/file.html

Extras.Txt

FRST.txt

OTL.Txt

Janusz. · 19 Maja 2014

Daj jeszcze Addition.txt i shortcut.txt. Infekcją zajmie się @rafor4

Nezvik · 19 Maja 2014

~~Dodaj log extrats z OTL. Podejrzewam infekcję 0 access. Ciężka sprawa.~~ Jednak to nie jest ZeroAccess ;c Znaczy dla ciebie to jest dobrze. Później dam fix usuwania.

Sigal^^ · 19 Maja 2014

Up log extras jest załączony

Extras.Txt

Nezvik · 20 Maja 2014

System jest wolny od wirusów. Wykonuj polecenia od góry do dołu. Na samym dole widnieje wyjaśnienie problemu.

Skan Gmerem przy włączonym programie do emulowania (DAEMON Tools Lite) - Bezsens.

Antywirusy:
Kaspersky Lab
Malwarebytes Corporation
AVG Technologies CZ, s.r.o.

Wywal kasperskiego oraz malwarebytes.

Dodatkowo odinstaluj:
TuneUp Software

Hosts file not found

Utwórz plik o treści

127.0.0.1 localhost
::1 localhost

Z menu Notatnika -> Plik -> Zapisz jako -> Ustaw rozszerzenie na Wszystkie pliki -> Zapisz pod nazwą hosts bez żadnego rozszerzenia. Plik wstaw do folderu C:\Windows\System32\drivers\etc.

W OTL wykonaj:

:OTL
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie'>http://www.google.com/ie
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie'>http://www.google.com/ie
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 6E 90 27 82 57 F0 CE 01  [binary data]
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie'>http://www.google.com/ie
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie'>http://www.google.com/ie
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes\{05E85588-0EBA-4918-99BB-89B6890DE99B}: "URL" = http://www.idg.pl?q={searchTerms}
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searc9324-1007\Software\Microsoft\In
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://mysearch.avg.com/search?cid={B9C8F1AA-ED49-41DF-9946-8694828493E7}&mid=960f5caf63b747d3a3e7d16dcac20218-a052284853590c33b620578aca35ce9572b2b398〈=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-02-05 21:45:28&v=18.0.5.292&pid=safeguard&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\..\SearchScopes\{D90934EF-84CB-4855-92B6-4DD79FA20A61}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
CHR - homepage: http://mysearch.avg.com?cid={B9C8F1AA-ED49-41DF-9946-8694828493E7}&mid=960f5caf63b747d3a3e7d16dcac20218-a052284853590c33b620578aca35ce9572b2b398〈=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-02-05 21:45:28&v=18.1.0.443&pid=safeguard&sg=&sap=hp
CHR - plugin: Error reading preferences file
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O4 - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007..\Run: [Facebook Update] C:\Users\xxx\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.1.722_29.04.2014_22-41.lnk =  File not found
O7 - HKU\S-1-5-21-1298113126-2527987004-3506729324-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:[b]64bit:[/b] - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 File not found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\viprotocol - No CLSID value found
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.0.5\ViProtocol.dll (AVG Secure Search)
O33 - MountPoints2\{00fab130-c566-11e3-b0dc-00248c26ebeb}\Shell - "" = AutoRun
O33 - MountPoints2\{00fab130-c566-11e3-b0dc-00248c26ebeb}\Shell\AutoRun\command - "" = L:\Startme.exe
O33 - MountPoints2\{0cd98bc1-2dae-11e3-a7b5-00248c26ebeb}\Shell - "" = AutoRun
O33 - MountPoints2\{0cd98bc1-2dae-11e3-a7b5-00248c26ebeb}\Shell\AutoRun\command - "" = G:\autorun.exe
O33 - MountPoints2\{4f4d6788-6955-11e3-b6d4-00248c26ebeb}\Shell - "" = AutoRun
O33 - MountPoints2\{4f4d6788-6955-11e3-b6d4-00248c26ebeb}\Shell\AutoRun\command - "" = L:\LGAutoRun.exe
[2014-04-29 22:01:57 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Local\MFAData
[2014-04-27 18:45:26 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Roaming\3909
[2014-05-17 22:24:00 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1298113126-2527987004-3506729324-1001UA.job
[2014-05-17 21:16:01 | 000,000,920 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1298113126-2527987004-3506729324-1007UA.job
[2014-05-17 18:16:00 | 000,000,898 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-1298113126-2527987004-3506729324-1007Core.job
[2014-05-17 12:24:00 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1298113126-2527987004-3506729324-1001Core.job
[2014-04-19 18:11:58 | 051,877,303 | ---- | M] () -- C:\Users\xxx\AppData\Roaming\launcher.exe
:Commands
[emptytemp]

O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) -  File not found

Brak explorer.exe 64 bitowego, jest to ważny plik systemowy. Włóż do napędu płytkę windowsa i rozpocznij proces naprawy plików. Po wszystkich zabiegach wykonaj nowy log OTL.

Zaloguj się

👋 Witaj na MPCForum!

Jakiś wirus czy coś ;/

Pytanie

Sigal^^

Sigal^^

4 odpowiedzi na to pytanie

Rekomendowane odpowiedzi

Janusz.

Janusz.

Nezvik

Nezvik

Sigal^^

Sigal^^

Nezvik

Nezvik

Zarchiwizowany