Sto tysięcy wirusów

[asior]

Witam

Jestem nowa na forum i nie wiem czy wszystko dobrze opiszę, ale postaram się

Otóż, przy skanowaniu komputera Malwarebytes Anti-Malware, program wykrył mi ponad 1100000 różnych trojanów itp.

Próba usunięcia wszystkich na raz powodowała że program się zamykał i wyrzucał jakiś błąd. Dlatego próbowałam robić to "na raty". Kiedy wyszukało mi 30000 obiektów, przerywałam skanowanie, zaznaczałam wszystkie i dawałam usuń. Wyglądało że usuwa, gdyż po wszystkim miałam komendę, żeby uruchomić ponownie komputer.

Komputer się uruchamiał i zaczynałam znowu skanować komp i znowu przy liczbie ok 30000 obiektów, wyłączałam itd (j/w)

Po kilku takich "sesjach", przeskanowałam znowu całość, poczekałam aż przeskanuje do końca i okazało się, że żadne pliki nie zostały usunięte i dalej jest ich ponad 1100000 

Próbowałam skanować komputer skaner Dr.Web CureIt, ale nic nie wykrył. 

Przeinstalowałam program Malwarebytes Anti-Malware, myśląc, że coś się pochrzaniło, ale efekt skanowania był identyczny.

Załączam plik txt z częściowego skanowania (przy tych 30000) w którym jest spis tych zagrożeń, może to coś podpowie. Ponieważ plik txt ma ponad 20 mb, więc wrzucam go na zippyshare . ( http://www13.zippyshare.com/v/67843391/file.html )

Z góry dziękuję za odpowiedź.

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

GMER.txt

[jessica]

Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste).

 

Ja w logach nie widzę żadnej infekcji.

Na pewno będzie kosmetyczne usuwanie, (poda je @Picasso)

 

Nie mogłam zobaczyć tego, co wykrył MBAM, bo nie mam dostępu do tego raportu.

 

jessi

[asior]

witam, dołączyłam jeszcze jeden plik "gmer", bo wcześniej się nie załączył.

 

kurcze, mam nadzieje, że to nie wirusy skoro nikt ich więcej nie widzi, tylko skąd ich tyle się pokazuje w tym programie

[jessica]

Tak z ciekawości: możesz pokażesz malutki kawałeczek tego, co wykrył MBAM?

 

EDIT: już nie trzeba, dostałam się do tego raportu.

Rzeczywiście jest tam duuużo "śmieci" do usunięcia!

Nie przejrzałam wszystkiego (zbyt dużo tego) dokładniej, więc nie wiem, czy wszystko jest do usunięcia

 

jessi

[asior]

czy tylko @Picasso może pomóc??

[muzyk75]

Otwórz Notatnik i wklej:

 

ShellExecuteHooks: SABShellExecuteHook Class - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL No File [ ]

C:\Users\Kacprut\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

Pobierz: TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Tak jak pisała @jessi poczekaj na @Picasso.

[picasso]

asior, mam pytanie, czy został użyty TFC Temp Cleaner?

 

W raportach ogólnych nie widać oznak infekcji. Co do wyników MBAM: conajmniej jeden z raportu podanego w pierwszym poście nie został wykryty w określonej części skanu OTL, gdzie powinien być. To nasuwa przypuszczenia, że jednak ten pierwszy podany raport MBAM nie jest już wierny. Poproszę więc o ogólny nierekursywny dir folderów w których MBAM zgłaszał obiekty infekcji:

 

Uruchom SystemLook i w oknie wklej:

 

:dir
c:\program files
c:\programdata
c:\programdata\microsoft\windows\start menu\programs
c:\users\kacprut\appdata\local
c:\users\kacprut\appdata\roaming
c:\users\kacprut\appdata\roaming\microsoft\windows\start menu\programs
c:\users\public\appdata\local
c:\windows\serviceprofiles\localservice\appdata\local
c:\windows\serviceprofiles\localservice\appdata\roaming
c:\windows\serviceprofiles\localservice\appdata\roaming\microsoft\windows\start menu\programs
c:\windows\serviceprofiles\networkservice\appdata\local
c:\windows\serviceprofiles\networkservice\appdata\roaming
c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\start menu\programs
c:\windows\system32\config\systemprofile\appdata\local
c:\windows\system32\config\systemprofile\appdata\roaming
c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\start menu\programs
c:\windows
c:\windows\system32
c:\

 

Klik w Look. Raport będzie ogromny, więc shostuj go gdzieś.

 

 

 

.

[asior]

Witam
Bardzo dziękuję za odpowiedź, mam nadzieje, że już wszystko u Ciebie OK

Czyszczenie tym TFC zrobiłam teraz przed chwilą, usunęło mi 5 gb danych.

 

Poniżej wklejam plik z system look, jest maleńki więc wklejam go w załączniku 

SystemLook.txt

[picasso]

W skanie SystemLook w ogóle nie ma wyników ze skanu MBAM, co sugeruje że jednak program usuwał... Na teraz:

1. Uzupełnij brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

#    127.0.0.1       localhost
#    ::1             localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

2. Pozbądź się szczątków Firefox i kilku innych drobnostek. Odinstaluj program Windows Media Player Firefox Plugin. Otwórz Notatnik i wklej w nim:

SearchScopes: HKLM - DefaultScope value is missing.
R2 Firefox Service; C:\Users\Kacprut\AppData\Roaming\Mozilla\Firefox\Profiles\l5z2wp99.default\extensions\startup.service@mozilla.com\svc.exe [83456 2011-03-10] ()
C:\Users\Kacprut\AppData\Roaming\Mozilla
C:\Users\Kacprut\AppData\Roaming\chrtmp
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

3. Wyczyść dokładnie wszystkie raporty MBAM, upewnij się że program jest w pełni aktualny i ponów pełny (nie szybki) skan. Podaj wynikowy raport, o ile coś zostanie znalezione.



.

[asior]

witam ponownie.

Tym razem nie znalazło mi niczego szczególnego

Jednak od jakiegoś czasu strasznie wolno działa mi komputer. A przy uruchomieniu menedżera zadań, opera otwarta jest przynajmniej kilkukrotnie

 

W załączeniu oba pliki i screen z menedżera zadań

Fixlog.txt

MBAM-log-2013-12-05 (13-32-31).txt

[picasso]

MBAM wykrył TNod User & Password Finder, ale wiadomo co to jest (crack do ESET)... Skrypt wykonany. Może zrób mi nowy świeży skan z FRST (włącznie z Addition), to zobaczę jak bieżąca sytuacja wygląda.

 

 

A przy uruchomieniu menedżera zadań, opera otwarta jest przynajmniej kilkukrotnie

Masz zainstalowane następujące wersje:

 

==================== Installed Programs ======================
 

Opera 12.16 (Version: 12.16.1860)

Opera Stable 17.0.1241.45 (Version: 17.0.1241.45)

 

Uruchomiona jest ta nowsza:

 

==================== Processes (Whitelisted) ===================
 

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

(Opera Software) C:\Program Files\Opera\17.0.1241.45\opera.exe

 

Opisywany efekt jest normalny dla Opera 17. Ostatnią Operą na silniku autorskim Presto jest Opera 12.16. Powyżej tej wersji Opera chodzi na silniku Chromium (ten sam co w Google Chrome) i ma jego cechy. Jedną z cech Chromium jest separowanie kart do osobnych procesów, co ma uniezależnić przeglądarkę od awarii jednej karty.

 

 

 

.

[asior]

Tak, mam dwie opery, bo nowa opera nie ma tych nieszczęsnych zakładek i dlatego czasem korzystam z nowej kiedy jakaś strona na starej się nie wyświetla poprawnie, ale generalnie używam starej.

 

w załączniku te pliki o które prosiłaś 

Addition.txt

FRST.txt

[picasso]

Tu jest jedna dziwna rzecz. Usuwałam folder Mozilla i startującą z niego usługę. To owszem zniknęło, ale nie z procesów:

 

==================== Processes (Whitelisted) ===================
 

() C:\Users\Kacprut\AppData\Roaming\Mozilla\Firefox\Profiles\l5z2wp99.default\extensions\startup.service@mozilla.com\svc.exe

 

Czy po użyciu skryptu FRST komputer był resetowany? Zresetuj go teraz i po restarcie sprawdź w menedżerze zadań, czy widzisz proces o nazwie svc.exe.

 

Jednak od jakiegoś czasu strasznie wolno działa mi komputer.

Mogę zalecić:

 

1. Wyłączenie zbędnych programów ze startu. Uruchom Autoruns i w karcie Logon odznacz:

 

HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)

HKCU\...\Run: [uTorrent] - C:\Program Files\uTorrent\uTorrent.exe [289584 2012-02-26] (BitTorrent, Inc.)

 

W karcie Services odznacz AdobeARMservice, SkypeUpdate. Zresetuj system.

 

2. Problem może tworzyć oprogramowanie zabezpieczające. Tu zwraca uwagę przede wszystkim ESET Smart Security (który jest na dodatek zaprawiony crackiem). Wiarygodny test: całkowita deinstalacja programu.

 

Podaj rezultaty działań.

 

 

 

.

[asior]

Witam

powiem szczerze, że po tych zabiegach zaleconych przez Ciebie, teraz już wszystko chodzi super (nie musiałam odinstalowywać Eseta )
Bardzo jestem wdzięczna za pomoc i za to, że znalazłaś czas mimo swoich problemów .

pozdrawiam

[picasso]

Skoro problem ustąpił, to możemy wykonać czynności końcowe:

 

1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.