Zainfekowany komputer

[bako22]

Witam, mam problem z komputerem, najprawdopodobniej jest to jakiś wirus. Przy zalogowaniu pojawia mi sie informacja że nie można uruchomic programu ponieważ brakuje plików .dll z każdym uruchomieniem coraz więcej tych plików. Proszę o pomoc w jego lokalizacji, z góry dziękuje.

[Landuss]

Zastosuj sie do zasad i wykonaj wymagane logi z OTL + Gmer (o ile dasz rade): KLIK

[bako22]

Ok, przepraszam za początkowy chaos w pierwszym poście. miałem już napisany ten post ale włączył mi sie blue screen podczas skanowania GMER'em więc piszę jeszcze raz. Problem wygląda następująco: nie mogę odpalić menadżera zadań po komendzie taskmgr wyskakuje komunikat, że menadżer jest wyłączony przez administratora, w necie znalazłem że może być to spowodowane wirusem. Dodatkowo podczas odpalania systemu wyskakują komunikaty o brakujących plikach .dll spisałem nazwy: nspr4.dll plc4.dll mozsqlite3.dll nssutil3.dll

Napisałem na forum ponieważ skoro zaczyna mi grzebać w plikach systemowych to chce się tego pozbyć zanim narobi poważnych szkód.

 

dołączam logi z OTL'a

OTL.txt - http://wklej.org/id/986936/

Extras.txt - http://wklej.org/id/986938/

 

Teraz będę skanował komputer GMER'em i jak tylko uda mi się bez resetu przeskanować to wrzucę logi.

 

@Edit logi z GMER'a - http://wklej.org/id/987257/

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [233493] C:\Users\Bartek\233493\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [577389] C:\Users\Bartek\577389\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [590354] C:\Users\Bartek590354svhost.exe File not found
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [668519] C:\Users\Bartek\668519\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [743897] C:\Users\Bartek\743897\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [788758] C:\Users\Bartek\788758\svhost.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 34516 = C:\PROGRA~3\LOCALS~1\Temp\msqoasuro.pif ()
O7 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

:Files
C:\*.exe
C:\msqyroi.com
C:\mshyqiq.bat
C:\Users\Bartek\NotFound
C:\Users\Bartek\668519
C:\Users\Bartek\164363
C:\Users\Bartek\233493
C:\Users\Bartek\730417
C:\Users\Bartek\743897
C:\Users\Bartek\811971
C:\Users\Bartek\577389
C:\Users\Bartek\546318
C:\Users\Bartek\788758
C:\Users\Bartek\153243
C:\Users\Bartek\590354
C:\Users\Bartek\496731
C:\Users\Bartek\AppData\Roaming\chrtmp

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: Yontoo 1.12.02 / uTorrentControl2 Toolbar

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Delete

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[bako22]

1. Jeżeli chodzi o skrypt to po restarcie pojawił mi się plik tekstowy który w nazwie miał cyfry, na samej gorze zaczynał się od "All processes killed" , wstawić całość ?

2. Programy przez panel sterowania usunięte + zrestartowałem Mozille jak kazałeś, chociaż to nie jest przeglądarka której używam (używam chrome) po restarcie Mozilli na pulpicie pojawił mi się folder Old Firefox Data, potrzebne to do czegoś czy usunąć ?

3. Zrobione

4. http://wklej.org/id/988594/

[Landuss]

1. Jeżeli chodzi o skrypt to po restarcie pojawił mi się plik tekstowy który w nazwie miał cyfry, na samej gorze zaczynał się od "All processes killed" , wstawić całość ?

 

To jest log z usuwania, nie prosiłem cię o niego bo nie jest mi do niczego potrzebny.

 

2. Programy przez panel sterowania usunięte + zrestartowałem Mozille jak kazałeś, chociaż to nie jest przeglądarka której używam (używam chrome) po restarcie Mozilli na pulpicie pojawił mi się folder Old Firefox Data, potrzebne to do czegoś czy usunąć ?

 

Usunąć.

 

Sytuacja wygląda dużo lepiej, ale jeszcze coś się ostało. Nowy skrypt poprawkowy o takiej zawartości:

 

:Files
C:\mshifcz.bat
C:\msqoasuro.pif
 
:Commands
[reboot]

 

Po wykonaniu pokazujesz nowy log ze skanowania.

[bako22]

fakt, system juz nie wyrzuca mi problemu z brakującymi plikami .dll i mogę uruchomić menadżera zadań. Dzięki za pomoc

 

i skan po skrypcie - http://wklej.org/id/989659/

[Landuss]

To by było wszystko. Przejdź do finalizacji tematu:

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 11

"Mozilla Firefox 17.0.1 (x86 en-US)" = Mozilla Firefox 17.0.1 (x86 en-US)

Szczegóły aktualizacyjne: KLIK

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bako22]

Wielkie dzięki za pomoc komputer nie wyrzuca już żadnych błędów i zdaje się być czysty. mam jeszcze tylko problem z aktualizacją problemów. Link który podałeś odsyła mnie do aktualizacji Windows 7 service pack 1 i internet explorera. gdzie zaktualizować jave ? czy powinienem ściągnąć i zaktualizować service pack ?

[diox]

Nie przeczytałeś całego tematu, tam jest link do Javy, podaję tutaj: KLIK.
 
 
 
.