Wirus - wyskakujące okienka

[beto]

Złapałem jakiegoś wirusa, jednego usunąłem w trybie awaryjnym. Jednak został drugi, wyskakują mi jakieś okienka, że wygrałem iphone itp.

Dodam jeszcze, że Avast cały czas blokuje mi jakieś złośliwe adresy.

 

Podczas uruchomienia GMERa komputer od razu się resetuje. Zaraz edytuję post i spróbuję dodać logi z gmera.

 

EDIT:

Niestety, nie udało się uruchomić GMERa.

 

 

Proszę o pomoc.

OTL.Txt

Extras.Txt

[Landuss]

Ale uruchamiasz Gmer przy aktywnym emulatorze wirtualnych napędów sptd:

 

DRV - [2010-10-08 12:22:16 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

 

Jest wyraźnie napisane, że emulację trzeba zdjąć na czas użytkowania Gmer: KLIK

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2
[2009-12-22 17:19:31 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2011-01-13 22:27:56 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\extensions\vshare@toolbar
[2011-03-02 14:28:52 | 000,002,558 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\askcom.xml
[2009-09-30 11:08:32 | 000,000,888 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\conduit.xml
[2011-02-07 18:53:10 | 000,001,592 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\web-search.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [WinampAgent]  File not found
O4 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003..\Run: [haire]  File not found
O4 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003..\Run: [R8388QA8U8] C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\Evr.exe (videosoft)
O20 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\Łukasz\Dane aplikacji\hotfix.exe) -  File not found
[2011-05-08 16:56:45 | 000,000,288 | -H-- | M] () -- C:\windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011-05-08 16:50:03 | 000,000,288 | -H-- | M] () -- C:\windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011-05-08 16:32:23 | 000,000,248 | -H-- | M] () -- C:\windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011-05-08 16:31:41 | 000,000,314 | -HS- | M] () -- C:\windows\tasks\dbswmj.job
[2011-05-08 16:17:14 | 000,249,856 | RHS- | M] () -- C:\Documents and Settings\Łukasz\cuurau.exe
[2011-05-08 16:17:12 | 000,000,659 | RHS- | M] () -- C:\Documents and Settings\Łukasz\autorun.inf
[2011-05-08 15:27:34 | 000,249,856 | RHS- | M] () -- C:\Documents and Settings\Łukasz\hairex.exe
[2010-06-27 19:57:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz\Dane aplikacji\OpenCandy
[2011-05-08 16:54:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz\Dane aplikacji\PriceGong
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Z apletu usuwania programów odinstaluj następujące pozycje - Conduit Engine / Softonic-Eng7 Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[beto]

Ale uruchamiasz Gmer przy aktywnym emulatorze wirtualnych napędów sptd:

Na początku tak, ale potem próbowałem już po usunięciu emulatora.

 

Zrobiłem co napisałeś, oto nowy skan.

OTL.Txt

[Landuss]

Infekcja wygląda na pomyślnie usuniętą. Wykonaj poniższe czynności:

 

1. Pousuwaj wszystkie skróty (pliki .LNK) z folderu C:\Documents and Settings\Łukasz (to prawdopodobnie pochodna infekcji)

 

2. Użyj opcji Sprzątanie w OTL.

 

3. Brakuje ci pliku HOSTS:

 

Hosts file not found

Wklejasz do Notatnika taki tekst:

 

127.0.0.1 localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia.

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc

 

4. Zaktualizuj Javę i Firefoxa: KLIK.

 

5. Wyzeruj stan Przywracania systemu: KLIK

 

 

 

[beto]

Tak, wszystko już w porządku. Dzięki wielkie.