Wirus

[baska994]

Witam,

mam problem. Podejrzewam że na moim laptopie znajduje się wirus. nie wiem jak go znaleźć i usunąć. problem zaczął się kiedy kliknęłam na jakiś link który okazał się wadliwy. Teraz na portalu facebook są wysyłane beż mojej wiedzy linki do moich znajomych i zauważyłem że komputer tak "buczy" jak wchodzę na fb. Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

Log z OTL źle skonfigurowany, opcja Rejestr ustawiona na Wszystko (ma być Użyj filtrowania) oraz wklejane w oknie ustawienia z innego forum. Proszę się trzymać tutjszej konfiguracji: KLIK.

 

Jest tu "Facebookowa" infekcja, w postaci tego wpisu startowego:

 

O4 - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000..\Run: [MSConfig] C:\Users\Basia\kdziaio.exe ()

 

Poza tym, system zaśmiecony adware.

 

 

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, BrowserProtect, Delta Chrome Toolbar, Delta toolbar, Funmoods, Incredibar Toolbar on IE, SaveAs, Searchqu Toolbar, StartNow Toolbar, Update Manager for SweetPacks 1.1, Web Assistant 2.0.0.478, Web Optimizer.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtC0EtD0FyEtC0D0C0BtB0CtN0D0Tzu0CtBzzyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=195158864"
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=420&systemid=406&sr=0&q={searchTerms}"
IE:64bit: - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtC0EtD0FyEtC0D0C0BtB0CtN0D0Tzu0CtBzzyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=195158864"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=420&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtC0EtD0FyEtC0D0C0BtB0CtN0D0Tzu0CtBzzyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=195158864"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103001&st=12&q={searchTerms}&barid={8FE76E03-96DC-4A54-821C-97A3A15672F1}"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120918&user_guid=6A513014647E4D01A8745C01F7A81B2C&machine_id=0752aea287efde8313b2e93563b083e0&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=a6a7cb2c0000000000000026faf25058"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={293BA29F-41EF-4505-BD65-1D94BB933EF3}&mid=8a531d9c37ca47d09fe8ada0952d07d9-ae26afb3494211ef13163e636065652926070202&lang=pl&ds=xn011&pr=sa&d=2012-12-24 12:13:05&v=13.3.0.17&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=420&systemid=406&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtC0EtD0FyEtC0D0C0BtB0CtN0D0Tzu0CtBzzyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=195158864"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb187?a=(6OyOxcQNXF)&search={searchTerms}&i=26"
IE - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103001&st=12&q={searchTerms}&barid={8FE76E03-96DC-4A54-821C-97A3A15672F1}"
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX 
O4 - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000..\Run: [MSConfig] C:\Users\Basia\kdziaio.exe ()
O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\x64\BROWSE~1.DLL File not found
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll File not found
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\BROWSE~1.DLL File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKU\S-1-5-21-1329285291-2705447280-2380422192-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) -  File not found
 
:Files
C:\Users\Basia\dwsbtbh.exe
C:\Users\Basia\aupt.exe
C:\Users\Basia\AppData\Roaming\Babylon
C:\Users\Basia\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\Basia\AppData\Local\funmoods.crx
C:\Users\Basia\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
C:\user.js
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[baska994]

"(już bez Extras). Dołącz log utworzony przez AdwCleaner." nie bardzo rozumiem co mam zrobić w punkcie 4. Proszę o wytłumaczenie.

[picasso]

No jak to: masz zrobić nowy skan OTL oraz dołączyć log, który utworzy automatycznie AdwCleaner uruchomiony w punkcie 3...

[baska994]

Mam zaznaczyć w OTL tak ja poprzedni wszystko a w opcji "własne opcje skanowania" wstawić to co utworzyło mi się z punktu 3 w notatniku?

[picasso]

NIE. Masz zrobić skan OTL wg wytycznych z przyklejonego: KLIK. Log z AdwCleaner nie ma być "wklejany" do okna OTL, bo to bezsens, masz po prostu dołączyć cały plik utworzony przez AdwCleaner jako załącznik posta.

 

 

 

.

[baska994]

No więc mam to z 3, teraz zrobię 4.

 

Proszę mi jeszcze powiedzieć czy już jest problem rozwiązany? A jeśli tak to będę wdzięczna za wskazanie jakiegoś programu antywirusowego który można pobrać w sieci. Serdecznie dziękuje za pomoc.

AdwCleanerS2.txt

OTL.Txt

[picasso]

Zadania pomyślnie wykonane, poprawki zostały.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
avgtp
vToolbarUpdater13.3.2
 
:Files
C:\Users\Basia\AppData\Roaming\StartNow Toolbar
C:\ProgramData\BrowserProtect
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Program Files (x86)\Mozilla Firefox
C:\windows\tasks\OptimizerPro1UpdaterTask{D5A69225-69A8-4247-809F-B8B0454F2747}.job
C:\Windows\SysNative\drivers\avgtpx64.sys
C:\windows\DeleteOnReboot.bat

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom Autoruns i wkarcie Scheduled Tasks usuń zadania związane z Optimizer Pro.

 

4. Zrób ostatni log z OTL poświadczający zmiany, z opcji Skanuj. Pliku Extras po raz kolejny nie załączaj.

 

 

 

 

.

[baska994]

Scheduled Tasks

nie mogę odnaleźć takiej karty, w spisie treści tematy są w pytajnikami. program pobrałam ze strony którą mi poleciłaś.

[picasso]

baska994, nie rozumiem o jakich pytajnikach i jakim spisie treści mówisz. Pokaż mi na obrazku co widzisz.

Edytowane 16 Marca 2013 przez picasso
16.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso