Zainfekowany System (blokada stron antywirusowych, skróty folderów,plików)

[yutrii]

Witam

Mam problem z komputerem gdy podłączyłem dysk zewnetrzny przez USB wszytskie foldery na dysku skopiowało i utowrzyło skróty do nich oraz niektóre pliki ukryło to samo dzieje się na dysku. Gdy podłączyłem karte z telefonu (Micro SD) stało się na niej to samo tylko usuneło wszytskie pliki w folderach. Chciałem sciągnąć Program antywirusowy ale mam zablokowane wszytskie strony. Avast, Kaspersky, AVG itp. Wyskakuje komunikat "Nie można odnaleźć serwera" bardzo prosze o pomoc.

 

Logi w załączonych plikach oraz wykaz z programu GMER (nie wykrył żanych rootkitów)

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

GMER nie wykrył w rozumieniu "czerwonych wpisów", ale jest wpis w rejestrze o cechach ukrytych (choć to już resztka):

 

---- Registry - GMER 1.0.15 ----
 
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\Documents and Settings\Administrator\Dane aplikacji\Tyqiqb.exe              Tyqiqb

 

Natomiast, w OTL widać masę szkodliwych wpisów startowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [elmq5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [emails5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [ep185] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [epp1305] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [etef5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [five922] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [mixswd] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [mp735] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe ()
O4 - HKU\S-1-5-21-343818398-1972579041-725345543-500..\Run: [uzfive172] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe ()
O4 - HKLM..\Run: []  File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
"@C:\Documents and Settings\Administrator\Dane aplikacji\Tyqiqb.exe"=-
 
:Files
RECYCLER /alldrives
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Odinstaluj obiekty sponsoringowe: w menedżerze rozszerzeń Firefox pdfforge Toolbar + Widgi Toolbar Platform oraz przez Dodaj / Usuń programy pdfforge Toolbar.

 

3. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj na warunku dostosowanym (patrz niżej) + USBFix z opcji Listing przy podpiętych wszystkich nośnikach przenośnych + AdwCleaner z opcji Search.

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\Software\Microsoft\Active Setup\Installed Components|RECYCLER /RS

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

 

.

[yutrii]

Wszystko zrobione tak jak w poscie wyzej. Logi w zalacznikach.

log z wynikami usuwania..txt

OTL.Txt

UsbFix.txt

AdwCleanerR1.txt

[Landuss]

Skrypt został poprawnie wykonany, zaś USBFix notuje owe skróty na dysku przenośnym.

 

1. Użyj opcji Delete z AdwCleaner

 

2. Wklej do notatnika ten tekst:

 

N:
del /q N:\*.lnk
attrib /d /s -s -h N:\*
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

3. Prezentujesz nowy log z USBFix z opcji Listing.

[yutrii]

nie mogłem w poprzednim poście przy edytowaniu wstawic zalaczników. wstawiam tutaj. Przepraszam za pisanie posta pod postem.

AdwCleaner.txt

UsbFix.txt

[Landuss]

Skróty zostały usunięte ale foldery właściwe nadal są poukrywane. Powtórz więc operację z notatnika w tej postaci:

 

N:
attrib /d /s -s -h N:\*
pause

 

Patrz czy nie ma błędów przy wykonywaniu. Dołącz nowy log z USBfix.

[yutrii]

Plików dalej nie przywróciło

 

błędów nie ma lecz nic się nie dzieje tylko takie okno cały czas mam:

 

nowylog z USBfix:

UsbFix.txt

[Landuss]

A spróbuj to zrobić przez OTL - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
attrib /d /s -s -h N:\* /C
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zaprezentujesz tutaj oraz nowy z USBFix.

[yutrii]

Pliki powróciły

 

Logi:

UsbFix.txt

OTL.txt

[Landuss]

Teraz się udało. W takim razie można przejść do zakończenia sprawy.

 

1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. System jest tutaj nieaktualny i odcięty od aktualizacji MS. Należy zainstalować Service Pack 3. Do zaktualizowania też pozostałe oprogramowanie poniżej:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 7.0.5730.11)

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)

"Mozilla Thunderbird 9.0.1 (x86 pl)" = Mozilla Thunderbird 9.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

[yutrii]

Dzięki za pomoc:) Wszystko wróciło do normy jeśli coś by się działo napisze jeszcze raz