Wirus ufa.exe. Obciążenie procesora.

[desant]

Mam ten wirus. objawia się ciągle, tzn jeśli procesor chodziłby na 20 % to on sprawai że ciągle jest 100%.
Gdy go wyłączam na liscie zadań to za chwile się włącz. Antiwirusy nie działają.
powiedzcie mi co zrobić, bo czytałem, ze trzeba zostawić logi.

POMOCY!

[greh]

Pokaż logi z programu OTL.
Logi wklejasz na Dostępne tylko dla zarejestrowanych użytkowników a tutaj jedynie link do nich.

[janpas]

pobierz malware bytes
http://www.hotfix.pl/infusions/pro_download_panel/malwarebytes-anti-malware-p164.htm
usuń cały syf jaki znajdzie

[desant]

OTL

Kod: Zaznacz cały

http://www.wklej.org/id/604387/

Extras

Kod: Zaznacz cały

http://www.wklej.org/id/604388/

Oto Raporty, czekam na dalsze instrukcje.

janpas, tego programu niestety nie da się pobrać, juz zgłosiłem niedziałający link.

[greh]

tego programu niestety nie da się pobrać

U mnie działa. Widać coś blokuje Ci pobieranie.

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKLM..\Run: [1140925.exe] C:\Windows\Temp\1140925.exe ()
O4 - HKLM..\Run: [3198888.exe] "C:\Windows\Temp\3198888.exe" File not found
O4 - HKLM..\Run: [3228009.exe] "C:\Windows\Temp\3228009.exe" File not found
O4 - HKLM..\Run: [5125350.exe] "C:\Windows\Temp\5125350.exe" File not found
O4 - HKLM..\Run: [70415549-loader2.exe] "C:\Windows\Temp\70415549-loader2.exe" File not found
O4 - HKLM..\Run: [9519990.exe] "C:\Users\Oskar\AppData\Local\Temp\9519990.exe" File not found
O4 - HKLM..\Run: [9554948.exe] C:\Windows\Temp\9554948.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\Windows\systemup.exe ()
O4 - HKU\S-1-5-21-172664719-3737319398-2547384085-1001..\Run: [riuom] C:\Users\Oskar\riuom.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
DRV - [2011-08-25 11:21:46 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\ghyl.sys -- (aummj)
DRV - [2011-08-25 11:18:55 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\wkvr.sys -- (hgvfspil)
SRV - [2011-08-21 11:38:05 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-08-21 11:37:05 | 000,258,048 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
MOD - [2011-10-06 16:20:28 | 000,049,152 | RHS- | M] () -- C:\Users\Oskar\riuom.exe
MOD - [2011-09-04 17:09:54 | 000,130,560 | ---- | M] () -- C:\Windows\systemup.exe
MOD - [2011-08-25 19:05:19 | 000,232,960 | ---- | M] () -- C:\Windows\l1rezerv.exe
[2011-08-22 10:22:56 | 000,130,560 | ---- | C] () -- C:\Windows\systemup.exe
[2011-08-21 11:42:38 | 000,232,960 | ---- | C] () -- C:\Windows\l1rezerv.exe
[2011-08-21 11:40:47 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-08-21 11:37:35 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok
[2011-08-21 11:37:31 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32_.exe
[2011-08-21 11:37:17 | 000,258,048 | ---- | C] () -- C:\Windows\sysdriver32.exe
[2011-08-21 11:25:33 | 001,216,000 | ---- | C] () -- C:\Windows\services32.exe

:Files
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Users\Oskar\riuom.exe
C:\Windows\SysWow64\w3data.vss
C:\Windows\SysWow64\msvcsv60.dll
C:\Windows\msocreg32.dat
C:\Windows\tasks\One-Click Tweak.job
C:\Windows\SysWow64\bnmndrv.dll
C:\Users\Oskar\AppData\Local\Temp*.html
C:\Windows\update.*
C:\Windows\ufa

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. W panelu sterownia (dodaj lub usuń programy) odinstaluj: XfireXO Toolbar , Babylon Toolbar , ESET NOD 32 (został uszkodzony)

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

5. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

6. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:

• Raport z usuwania OTL (po restarcie),
• Raport z czyszczenia Ad-Remover'em,
• Nowe logi z OTL.
• Log z TDSSKiller'a

[desant]

Chyba pomogło zrobiłem każdy punkt. Pomyliłem się jednak i ominąłem punkt 4, zrobiłem go po punkcie 5.
Nie wiem też gdzie jest plik boot.ini


W Każdym bądź razie pomogło. Procesor nigdy nie wskakuje na 100% ciągle jest na 0%-1% podczas prostych operacji na 10%.

Chyba wszystko jest na miejscu. Ale doprowadźmy sprawę do końca Oto logi

OTL po wykonaniu skryptu i po prestarcie ----->

Kod: Zaznacz cały

http://www.wklej.org/id/604598/

Raport po działaniu Ad-Remover --------------->

Kod: Zaznacz cały

http://www.wklej.org/id/604599/

Raport po działaniu TDSSKillera. Przeskanowałem, wykryło jedno zagrożenie, wziałem opcje SKIP i zakończyłem
poźniej skopiowałem to co wyskoczyło jak nacisnąłem opcje raport w panelu głownym programu
oto raport ------------------------------------------>

Kod: Zaznacz cały

http://www.wklej.org/id/604600/

A tutaj niestety punk 5 zamineilem z punktem 4. Przepraszam za utrudnienie, zrobilem skan OTL PO TDSSKillerze a nie PRZED. -------------------------------------------->

Kod: Zaznacz cały

http://www.wklej.org/id/604602/

Nie wiem co z plikiem Boot.ini


Ale tak jak napisałem - Już bardzo pomogło. w Menadżerze Zadań w procesach mam zaledwie 10 procesów. a było ich około 30 przed zabiegami. Procesor odetchnął.

[djarta]

Został ostatni skrypt.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O3 - HKU\S-1-5-21-172664719-3737319398-2547384085-1001\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Utubebario Customized Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=19948&mntrId=167f10e8000000000000001f1f9074c474c4"
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.1.0
FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=19948&mntrId=167f10e8000000000000001f1f9074c474c4&q="
IE - HKU\S-1-5-21-172664719-3737319398-2547384085-1001\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found

:Files
C:\Users\Oskar\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
C:\Users\Oskar\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fbc-pl.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchFxt.xml
C:\USERS\OSKAR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FZ5DALUQ.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
C:\USERS\OSKAR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FZ5DALUQ.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\radiobar@toolbar
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\{58beca16-cae6-4b7a-a0e8-153d0cbba63a}
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad}
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\ffxtlbr@babylon.com
C:\Users\Oskar\AppData\Roaming\mozilla\Firefox\Profiles\fz5daluq.default\extensions\ffxtlbr@Facemoods.com
C:\Windows\SysWOW64\msvfd32.exe
C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe
C:\Windows\SysWow64\KILLAPPS.EXE
C:\Windows\SysNative\drivers\etc\hîsts
C:\Windows\MEMORY.DMP
C:\Windows\info1

:Services
Adobe Licensing Console

:Commands
[resethosts]
[emptytemp]

Klik w Wykonaj Skrypt. Po chwili poprosi Cię o restart systemu - zatwierdź i po restarcie pokaż raport z usuwania na Forum.

[desant]

OTL po ostatnim restarcie

Kod: Zaznacz cały

http://www.wklej.org/id/604779/

Przy okazji zapytam, jakiego antywirusa używać aby takie rzeczy nie powracały? Albo, żeby przynajmniej zmniejszyć szanse, lub czas po jakim powrócą?


Zauważyłem też, że po dotychczasowej procedurze nie moge włączyć msconfig. Mam windows 7 64-bit.
Robie to z konta admina.