LOGI, Proszę o pomoc.

Post24 lip 2014, 01:21

Witam, Proszę o pomoc w usunięciu wirusów, sprawa wygląda kiepsko.
Oprócz dysku C i D, utworzył się nowy dysk "Q" -jest on zablokowany,
większość plików jest nie do odczytu bądź jest nie widoczna, tak jak na dysku C pojawiają się nowe dziwne foldery.
Programy pozamieniały się ikonkami, albo w ogóle nie działają.
Mozilla otwiera się się z reklamami
W aplikacji zdarzeń obserwuje akcje logowań, zmian w plikach itp.
Ostatnio nawet "ktoś" pomógł mi zdalnie w ustawieniu paska narzędzi.
Wstępnie przypuszczam że ta farsa rozpoczęła się od Microsoft Security Essentials który wprowadził wirusa Win32.
lecz nie znam się na tym kompletnie, proszę o pomoc.
OLT:
Dostępne tylko dla zarejestrowanych użytkowników
Extras:
Dostępne tylko dla zarejestrowanych użytkowników
Zdjęcie Podgląd zdarzeń:
Dostępne tylko dla zarejestrowanych użytkowników

Post24 lip 2014, 07:57

1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2014/02/19 18:47:22 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\systweak
[2014/02/19 18:05:02 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\SimilarSites
2014/02/19 18:51:59 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\SaveSense
[2014/07/09 03:26:45 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\Settings Manager
[2014/07/09 03:27:57 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\SimilarAddon
[2014/02/20 02:39:00 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\OpenCandy
[2014/07/21 08:56:24 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\newnext.me
[2012/07/26 10:01:17 | 000,000,000 | ---D | M] -- C:\Users\MUCHA\AppData\Roaming\hellomoto
[2014/02/19 18:51:59 | 000,000,292 | ---- | C] () -- C:\Windows\tasks\SaveSense.job
[2014/07/23 21:21:19 | 000,000,926 | ---- | M] () -- C:\Windows\tasks\SaveSenseLiveUpdateTaskMachineCore.job
[2014/02/19 18:52:05 | 000,000,000 | ---D | C] -- C:\ProgramData\SaveSenseLive
O4 - HKU\S-1-5-21-1002390150-1187674150-2912461534-1000..\Run: [Facebook Update] "C:\Users\MUCHA\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver File not found
O4 - HKU\S-1-5-21-1002390150-1187674150-2912461534-1000..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\MUCHA\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l File not found
O4 - HKU\S-1-5-21-1002390150-1187674150-2912461534-1000..\Run: [Spybot-S&D Cleaning] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1002390150-1187674150-2912461534-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1002390150-1187674150-2912461534-1000\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
O4 - HKLM..\Run: [] File not found
O2 - BHO: (SaveSense) - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - C:\Users\MUCHA\AppData\Local\SaveSense\SaveSenseIE.dll File not found
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
[2011/12/18 23:14:38 | 000,002,354 | ---- | M] () -- C:\Users\MUCHA\AppData\Roaming\mozilla\firefox\profiles\fc7hbtfq.default\searchplugins\aol-web-search.xml
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=3: C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.updaterss.com/SaveSenseLive Update;version=9: C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\MUCHA\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: C:\Program Files (x86)\Ganymede\Plugins\npganymedenet.dll File not found
FF - prefs.js..extensions.enabledAddons: sitefinder%40sitefinder.com:1.0.5
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20111218205234777&tb_oid=18-12-2011&tb_mrud=18-12-2011&query="

:Files
C:\Users\wangzhisong

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1002390150-1187674150-2912461534-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-1002390150-1187674150-2912461534-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

F.

Post25 lip 2014, 03:32

Witam ponownie,
dwa raporty z Adw-cleaner:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Raport po restarcie:

Dostępne tylko dla zarejestrowanych użytkowników

Nowy log OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

pozdrawiam Kuba.

Post25 lip 2014, 07:49

utworzył się nowy dysk "Q" -jest on zablokowany,

Zrób log z USBFix http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na: LISTING.

F.

Post25 lip 2014, 08:08

Log USBFix :

Dostępne tylko dla zarejestrowanych użytkowników

Post25 lip 2014, 08:31

USBFix też nie widzi wcale tego dysku "Q".
Nie wiem, co to jest.
Być może to wirtualny obiekt stworzony przez C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe

F.