Wirus/infekcja po pobieraniu plików z Torrenta

[BARTKEEE]

Cześć. Dziś przy pobieraniu torrenta zassało mi do komputera jakiegoś dziwnego wirusa. Na czym on polega? Otóż chodzi o to, że chcąc pobrać dowolny plik przez przeglądarkę, plik nie zapisuje się lub zostaje natychmiast usunięty. Wszystko normalnie, widzę jak pliczek się pobiera, a gdy już w oknie pobierania pokazuje, że plik jest pobrany i próbuję go otworzyć 2x lpm nie ma reakcji, więc próbuję ppm > otwórz folder podrzędny, ale nie da się wybrać tej opcji, więc wchodzę w folder gdzie zapisują mi się pliki i widzę, że pliku tam w ogóle nie ma. Kolejną rzeczą, którą zrobiłem było przeskanowanie wszystkich dysków programem ESET NOD32, znalazło tam jakieś wirusy, które zostały usunięte, ale problem nie zniknął. Problem występuje na przeglądarkach Mozilla Firefox, Internet Explorer, innych nie mam.
Powiedzcie mi koledzy co mogę zrobić w takiej sytuacji? Pytajcie, jeśli czegoś potrzebujecie wiedzieć

[XMan]

Przeskanuj komputer programem Dostępne tylko dla zarejestrowanych użytkowników
Zaktualizuj bazę wirusów.
Pełne skanowanie
(nie instaluj wersji PRO tylko Freeware)
W razie wykrycia infekcji usuń zainfekowane pliki.
Usuń zarażone pliki z kwarantanny.
Po skanowaniu wrzuć z niego raport na:
Dostępne tylko dla zarejestrowanych użytkowników

Wrzuć obowiązkowe logi:
OTL.txt i Extras.txt --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm

Logi/raporty wklejasz na:
Dostępne tylko dla zarejestrowanych użytkowników
a na forum podajesz tylko link do nich.

[BARTKEEE]

Ściągnąłem programy na innym kompie. TDSSKiller miał robione 2x skana, za pierwszym razem złapało jakiegoś chyba rotkita, czy coś takiego, ale komputer mi się... zaciął. Musiałem zrobić jeszcze raz. Tak więc po kolei:
Malwarebytes Anti-Malware Dostępne tylko dla zarejestrowanych użytkowników
OTL.txt Dostępne tylko dla zarejestrowanych użytkowników
extras.txt Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników

[XMan]

Infekcja
Poczekaj za sprawdzeniem logów oraz odpowiedzią fachowców z tego działu...

[BARTKEEE]

a idzie się tego pozbyć w ogóle?

[XMan]

a idzie się tego pozbyć w ogóle?

Idzie, idzie tylko poczekaj cierpliwie za odpowiedzią fachowców, widzę że już są i analizują logi

[filutka78]

1) Użyj >>Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

2) Zrób log z Farbar Service Scanner >Dostępne tylko dla zarejestrowanych użytkowników (do skanowania zaznacz wszystko).

3) Odinstaluj C:\Program Files\BuzzSearch

4) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

5) Zrób logi z > Dostępne tylko dla zarejestrowanych użytkowników

F.

[BARTKEEE]

1. Usunięte, ale nie posiadam raportów, nie wyskoczyło mi nic i nie zabardzo wiem gdzie to miałem kliknąć.
2. Zrobione. Dostępne tylko dla zarejestrowanych użytkowników
3. Zrobione - wcześniej przeskanowane - był trojan.
4. Zrobione. Dostępne tylko dla zarejestrowanych użytkowników
5. Zrobione. Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Przepraszam, że tak długo to twało, ale mało ostatnio mam czasu na komputer. Więc prosiłbym o pomoc w rozwiązaniu problemu.

edit.
RogueKiller.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Raporty z Rogue Killer są na pulpicie.

1) Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

2) Otwórz Notatnik i wklej w nim:

Startup: C:\Users\Badi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
ShortcutTarget: start.lnk -> C:\Users\Badi\qooyk\start.vbs ()
BHO: BuzzSearch - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - C:\Program Files\BuzzSearch\BuzzSearchbho.dll No File
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 02 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Hosts: Hosts file not detected in the default directory
C:\Program Files\BuzzSearch
C:\Windows\system32\%APPDATA%
C:\Users\Badi\AppData\Roaming\hFtOF
C:\Users\Badi\gkutk
C:\Users\Badi\AppData\Roaming\Adobex32x
C:\Users\Badi\qooyk
C:\Users\Badi\AppData\Local\Temp\17713.exe
C:\Users\Badi\AppData\Local\Temp\32398.exe
C:\Users\Badi\AppData\Local\Temp\62069.exe
C:\Users\Badi\AppData\Local\Temp\63604.exe
C:\Users\Badi\AppData\Local\Temp\71839.exe
C:\Users\Badi\AppData\Local\Temp\75777.exe
C:\Users\Badi\AppData\Local\Temp\76401.exe
C:\Users\Badi\AppData\Local\Temp\76786.exe
C:\Users\Badi\AppData\Local\Temp\83277.exe
C:\Users\Badi\AppData\Local\Temp\98070.exe
C:\Users\Badi\AppData\Local\Temp\AutoRun.exe
C:\Users\Badi\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Badi\AppData\Local\Temp\eauninstall.exe
C:\Users\Badi\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Badi\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Badi\AppData\Local\Temp\htmlayout.dll
C:\Users\Badi\AppData\Local\Temp\InstallFlashPlayer.exe
C:\Users\Badi\AppData\Local\Temp\installstats.exe
C:\Users\Badi\AppData\Local\Temp\iv_uninstall.exe
C:\Users\Badi\AppData\Local\Temp\jre-7u11-windows-i586-iftw.exe
C:\Users\Badi\AppData\Local\Temp\mirc729.exe
C:\Users\Badi\AppData\Local\Temp\MP3_Launcher_1_27_0_0.exe
C:\Users\Badi\AppData\Local\Temp\NEwBSDynDNS.exe
C:\Users\Badi\AppData\Local\Temp\ntdll_dump.dll
C:\Users\Badi\AppData\Local\Temp\ose00000.exe
C:\Users\Badi\AppData\Local\Temp\SimCity 4 Deluxe_uninst.exe
C:\Users\Badi\AppData\Local\Temp\uninst1.exe
C:\Users\Badi\AppData\Local\Temp\uninstall9414722.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.


3) Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru.
Dostępne tylko dla zarejestrowanych użytkowników

4) Pobierz narzędzie SetACL, (Dostępne tylko dla zarejestrowanych użytkowników
z folderu Commandline version wypakuj wersję dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows.

5) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik umieść bezpośrednio na C:\.

Kod: Zaznacz cały

"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA"

START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt

6) Pobierz ten plik i umieść go bezposrednio na C:\
Dostępne tylko dla zarejestrowanych użytkowników
START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt

7) Pobierz >>Dostępne tylko dla zarejestrowanych użytkowników
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator. Jeśli nie będzie samoistnego restartu, to zrestartujesz komputer.

8) Zrób log z FSS.

9) Zrób log z FRST (już bez Addition).

F.

[BARTKEEE]

1. zrobione.
2. Dostępne tylko dla zarejestrowanych użytkowników
3. zrobione.
4. OK
5. OK
6. OK
7. OK
8. Dostępne tylko dla zarejestrowanych użytkowników
9.Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Jest OK.

Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0055C089-8582-441B-A0BF-17B458C2A3A8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"


Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

TDSSKiller - usuń ręcznie.

Rogue Killer - usuń ręcznie.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

ESET Service Repair - usuń ręcznie.

SETACL - usuń recznie.

Fix.Reg'i - usuń ręcznie.

FSS - usuń ręcznie.

To chyba wszystko.

F.

[BARTKEEE]

dzięki <3