WIRUS SKYPE

[CooKJX]

Cześć!
Moja siostra wwaliła mi do kompa WIRUS SKYPE, jednak usuwałem szkodliwe pliki mimo to z powrotem tworzą się nowe te 4D.. itd w %appdata% Roaming. PROSZĘ O POMOC!!!!

-- 30 mar 2013, 17:24 --

A jeszcze przy usuwaniu jest coś napisane o loweeeager

[me@djohnsc]

Przeczytaj wszystko co tu pisze -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html i podaj logi. Jak tylko pojawi się ekspert (ja nie ;]) to Ci pomoże i powie, co usunąć itd.

Pozdrawiam

EDIT. Ponieważ nie zauważyłem, że ten temat to duplikat, to Twój pierwszy wątek ląduje w koszu

[CooKJX]

Załączam OTL Dostępne tylko dla zarejestrowanych użytkowników
oraz Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{83AA2913-C123-4146-85BD-AD8F93971D39}" = BabylonObjectInstaller
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9f24ef11-9ad4-4ea7-8eed-c0075d3e6edc}_is1" = Certified Toolbar
"Akamai" = Akamai NetSession Interface
"AVG Secure Search" = AVG Security Toolbar
"BabylonToolbar" = Babylon toolbar on IE
"Clownfish" = Clownfish for Skype
"com.adobe.downloadassistant.AdobeDownloadAssistant" = Adobe Download Assistant
"DriverAgent.exe" = DriverAgent by eSupport.com
"IMVU_Inc Toolbar" = IMVU Inc Toolbar
"OptimizerProUpdater" = OptimizerPro Updater
"PunkBusterSvc" = PunkBuster Services
"UnityWebPlayer" = Unity Web Player
"Akamai" = Akamai NetSession Interface

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva399.sys -- (XDva399)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\vtany.sys -- (vtany)
DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Program Files\IMVU_Inc\prxtbIMV2.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Program Files\IMVU_Inc\prxtbIMV2.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112463&babsrc=SP_ss&mntrId=dc8c6168000000000000bc5ff402725b
IE - HKCU\..\SearchScopes\{42418823-46df-4e62-9702-e403d0365c75}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{05A56E9C-5D42-48A8-A390-07BA0F235D29}&mid=f3e3d4c7e5e247d0a8bb6d16b2e69ba8-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=yu012&pr=sa&d=2012-06-11 18:09:11&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{A4A87B07-E0FF-46F7-88D0-550F6BB451C1}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{05A56E9C-5D42-48A8-A390-07BA0F235D29}&mid=f3e3d4c7e5e247d0a8bb6d16b2e69ba8-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=yu012&pr=sa&d=2012-06-11 18:09:11&v=11.1.0.7&sap=dsp&q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;<local>
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.useDBForOrder: false
FF - prefs.js..browser.startup.homepage: "http://isearch.avg.com/?cid={05A56E9C-5D42-48A8-A390-07BA0F235D29}&mid=f3e3d4c7e5e247d0a8bb6d16b2e69ba8-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=yu012&pr=sa&d=2012-06-11 18:09:11&v=14.2.0.1&pid=avg&sg=&sap=hp"
FF - prefs.js..extensions.enabledAddons: battlefieldheroespatcher@ea.com:5.0.127.0
FF - prefs.js..extensions.enabledAddons: battlefieldplay4free@ea.com:1.0.66.2
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33
FF - prefs.js..extensions.enabledAddons: crossriderapp11825@crossrider.com:0.87.30
FF - prefs.js..extensions.enabledAddons: avg@toolbar:14.2.0.1
FF - prefs.js..extensions.enabledAddons: {90b49673-5506-483e-b92b-ca0265bd9ca8}:10.14.40.128
FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?pid=avg&sg=&cid=%7B5f830419-6025-487d-bfe3-23ff2c3c5954%7D&mid=f3e3d4c7e5e247d0a8bb6d16b2e69ba8-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&ds=yu012&v=14.2.0.1&lang=en&pr=sa&d=2012-06-11%2018%3A09%3A11&sap=ku&q="
FF - prefs.js..browser.startup.homepage: "fbdirecto.net/1/"
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Zielscy\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Zielscy\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Zielscy\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\14.2.0.1 [2013-02-20 12:41:58 | 000,000,000 | ---D | M]
[2013-01-21 09:40:46 | 000,000,000 | ---D | M] (IMVU Inc) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8}
[2012-07-05 10:34:14 | 000,000,000 | ---D | M] (Certified Toolbar) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\{dc8881ef-7ab2-4f5d-b262-f6cabc04f8b0}
[2012-11-10 18:06:33 | 000,000,000 | ---D | M] (Icy Tower Community Toolbar) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\{ff65fdbc-5683-4dfd-9113-1fcb5b0a3447}
[2011-11-26 16:31:49 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\battlefieldheroespatcher@ea.com
[2011-12-08 17:01:49 | 000,000,000 | ---D | M] (Battlefield Play4Free) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\battlefieldplay4free@ea.com
[2013-03-17 20:47:18 | 000,000,000 | ---D | M] ("Super Flowery") -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\crossriderapp11825@crossrider.com
[2013-03-17 20:47:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Zielscy\AppData\Roaming\mozilla\Firefox\Profiles\o0po6vmr.default\extensions\crossriderapp11825@crossrider.com\chrome\content\extensionCode
[2012-07-05 10:34:08 | 000,003,267 | ---- | M] () -- C:\Users\Zielscy\AppData\Roaming\mozilla\firefox\profiles\o0po6vmr.default\searchplugins\Web Search.xml
File not found (No name found) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2013-02-20 12:41:58 | 000,000,000 | ---D | M] (AVG Security Toolbar) -- C:\PROGRAMDATA\AVG SECURE SEARCH\FIREFOXEXT\14.2.0.1
[2013-02-20 12:42:03 | 000,003,716 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-07-12 16:37:44 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2009-04-13 07:11:16 | 000,006,269 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\chomikuj.xml
[2012-07-05 10:34:08 | 000,003,267 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
CHR - Extension: IMVU Inc = C:\Users\Zielscy\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcfjehbfanfhgoehogmbiebedkidedjb\10.15.0.562_0\
CHR - Extension: SAO Theme 1920x1080 = C:\Users\Zielscy\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgikfepnnphbmgngmpiflajcbmoomnll\1.2_0\
O4 - HKLM..\Run: [Windows Messages Controler] c:\windows\sms.exe File not found
O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent File not found
O4 - HKCU..\Run: [Windows Messages Controler] c:\windows\sms.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.17.2)
[2011-12-27 20:18:29 | 002,161,160 | ---- | C] (DownVision ) -- C:\Users\Zielscy\AppData\Local\setup.exe
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:05EE1EEF

:Files
C:\Users\Zielscy\AppData\Local\Google\Update
C:\Windows\tasks\*.*
C:\Users\Zielscy\AppData\Roaming\74B6.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[CooKJX]

Te pliki mam usunąć dzięki OTL czy ręcznie (nie moge ich znaleźć) wybacz ale jestem nowy.

[kominekl]

Te pliki mam usunąć dzięki OTL czy ręcznie (nie moge ich znaleźć) wybacz ale jestem nowy.

Tam masz nazwy programów, które masz odinstalować.

[CooKJX]

ok zaraz wrzuce logi

-- 30 mar 2013, 19:27 --

To mi się włączyło przy włączaniu OTL Dostępne tylko dla zarejestrowanych użytkowników

-- 30 mar 2013, 19:50 --

OTL po skanie: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

ok zaraz wrzuce logi

-- 30 mar 2013, 19:27 --

To mi się włączyło przy włączaniu OTL Dostępne tylko dla zarejestrowanych użytkowników

-- 30 mar 2013, 19:50 --

OTL po skanie: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

A ADWCleaner to ja nie widzę. Czekamy. Po jego użyciu podaj nowe logi z OTL.

[CooKJX]

Obecnie nie mam mnie w domu i jestem na innym komputerze, jak wróce dodam reszte logów.

[kominekl]

Obecnie nie mam mnie w domu i jestem na innym komputerze, jak wróce dodam reszte logów.

OK. Czekamy.

[CooKJX]

Byłem u nauczyciela informatyki. Już pliki się nie tworzą, sprawdzał również logi, mówił, że już nie ma wirusa w plikach, więc chyba można zamknąć.

[kominekl]

Byłem u nauczyciela informatyki. Już pliki się nie tworzą, sprawdzał również logi, mówił, że już nie ma wirusa w plikach, więc chyba można zamknąć.

To wiem, ale są tu inne rzeczy. Wykonaj instrukcję.