Nowy wirus ze skype. Prosze o pomoc

[OxyTaka]

Dziś otrzymałem na skype od kolegi wiadomość "hej jest to twoja skype zdjecie profilowe? (link).
Ja niestety głupi wszedłem w to i pobralem plik nazywal sie on skype image po otwarciu wyskoczylo jakies gowno chyba do zainstalowania, ale juz zamknalem. po kliknieciu w to reszcie znajomych wyslalo sie to samo.... Mysle, ze zlapalem tego wirusa. Kolega mowi ze ten wirus ma podobno tydzien dopiero i mowil zebym zrobil formata, bo zaden antywirus mi tego nie wykryje, moze macie inne pomysly ;/? Nie znam sie na logach, wiec nic z nich nie wyczytam.
OTL.txt:http://wklej.org/id/839301/
Extras.txt:http://wklej.org/id/839299/

[kominekl]

"NOD32" = System Antywirusowy NOD32
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2475029
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112454&tt=220512_53all&babsrc=SP_ss&mntrId=b4961ebc00000000000000ffa1bc3ce7
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\SearchScopes\{67595FFF-4BC4-488F-ABB7-A236E343D5E6}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F36EBD8A-FFC2-4C10-8522-862FEF3BFE49&apn_sauid=7C738B99-B4B0-4E00-B24C-12E5AFC92618
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..extensions.enabledAddons: artur.dubovoy@gmail.com:3.7.0
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112454&tt=220512_53all&babsrc=KW_ss&mntrId=b4961ebc00000000000000ffa1bc3ce7&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_265.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-08-09 13:27:25 | 000,002,299 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\mozilla\firefox\profiles\3kg28cqp.default\searchplugins\askcom.xml
[2012-09-08 10:29:47 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files (x86)\mozilla firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012-05-27 19:27:55 | 000,002,355 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
O3 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.
O3 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [nod32kui] "C:\Program Files (x86)\Eset\nod32kui.exe" /WAITSERVICE File not found
O4 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000..\Run: [DS3 Tool] C:\Program Files\MotioninJoy\ds3\DS3_Tool.exe -mini File not found
O4 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000..\Run: [Mguyuk] C:\Users\Darek\AppData\Roaming\Mguyuk.exe (Skype Technologies S.A.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )
O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1000\..Trusted Domains: sony.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2735535230-3271833697-811845151-1001\..Trusted Domains: sony.com ([]* in Trusted sites)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_24)

:Files
C:\Users\Darek\AppData\Roaming\962A.exe
C:\Windows\temp
C:\Program Files (x86)\v9Soft
C:\temp
C:\Users\Darek\AppData\Local\setup.exe
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[OxyTaka]

OTL.txt: Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt: Dostępne tylko dla zarejestrowanych użytkowników

-- 30 wrz 2012, 14:59 --

OTL:
OTL.txt:http://wklej.org/id/839385/
Extras.txt:http://wklej.org/id/839388/
ADWCleaner:http://wklej.org/id/839393/
TDSSKiller:http://wklej.org/id/839398/ (nie wiem czy to log akurat)
Autoruns: (nie wiem gdzie jest log)

[kominekl]

Oprogramowanie.

Odinstaluj teraz to o czym wspominałem.

TDSSKiller:http://wklej.org/id/839398/ (nie wiem czy to log akurat)

Log ucięty. Popraw.

Autoruns: (nie wiem gdzie jest log)

Podałem instrukcję. Log ma format .ARN.

[kubinho997]

OTL- Dostępne tylko dla zarejestrowanych użytkowników
extras- Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

OTL- Dostępne tylko dla zarejestrowanych użytkowników
extras- Dostępne tylko dla zarejestrowanych użytkowników

Post zgłaszam. Założyłeś już własny temat.

[Stasio132]

Rozwiązanie Dostępne tylko dla zarejestrowanych użytkowników .

[kominekl]

Rozwiązanie Dostępne tylko dla zarejestrowanych użytkowników .

Nie podbijaj tematów to raz. A po drugie to nie tylko tam się ten wirus zagnieżdża. Filmik robiony przez kogoś kto jeszcze musi nieco poczytać .