Wirus zamykający antywirusa i przeglądarkę (Podane Logi)

Post29 mar 2013, 10:39

Witam, mam problem z wirusem, który zamyka mojego antywirusa i przeglądarkę po wpisaniu słowa wirus, antywirus. Na wstępie zaznaczam, że nie znam się na komputerach. Przez pendriva zainstalowałam program ComboFix i uruchomiłam go (nie wyłączając Avasta), wyskoczyło czarne okienko z zielonymi napisami, załadowało w nim zielony pasek ładowania do połowy i okienko zniknęło. Po tym zabiegu mogę uruchomić antywirusa i wyszukać w przeglądarce słowo wirus, ale tylko do ponownego wyłączenia komputera. Zeskanowałam komputer ale antywirus nic nie wykrył. Proszę o pomoc.

Logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-- 29 mar 2013, 11:28 --

Wirus jest podobno tutaj:
O4 - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000..\Run: [Java] C:\Users\oem\AppData\Roaming\Microsoft\jushed.exe ()

Tylko co ja mam z tym zrobić?

Post29 mar 2013, 10:43

Przez pendriva zainstalowałam program ComboFix i uruchomiłam go (nie wyłączając Avasta), wyskoczyło czarne okienko z zielonymi napisami, załadowało w nim zielony pasek ładowania do połowy i okienko zniknęło.

Raz. Nie używa się tego programu ot tak, bo może on nawet uszkodzić system.

Wirus jest podobno tutaj:
O4 - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000..\Run: [Java] C:\Users\oem\AppData\Roaming\Microsoft\jushed.exe ()

Tak to część infekcji.

"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"ASUS WebStorage" = ASUS WebStorage
"K_Series_ScreenSaver_EN" = K_Series_ScreenSaver_EN
"NSS" = Norton Security Scan
"Registry Mechanic_is1" = PC Tools Registry Mechanic 11.0
"WinLiveSuite" = Windows Live Essentials
"UnityWebPlayer" = Unity Web Player

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
IE - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\..\SearchScopes\{070FF2D9-F7BD-48CC-8B1A-282B3BCAD3C7}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=686FB22B-2B81-4ACF-81D4-155CFE51E286&apn_sauid=F537CCA8-B5AD-4CE6-A152-3D5CDF522C84
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\oem\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\msntoolbar@msn.com: C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\Firefox [2011-01-19 22:49:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension\ [2011-01-19 22:49:11 | 000,000,000 | ---D | M]
[2011-07-03 21:49:24 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files (x86)\mozilla firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
CHR - Extension: Skype Extension = C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.3.0.7550_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe File not found
O4 - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000..\Run: [Java] C:\Users\oem\AppData\Roaming\Microsoft\jushed.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O15 - HKU\S-1-5-21-3549449911-3373811040-1174007188-1000\..Trusted Domains: samsungsetup.com ([www] http in Trusted sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_39)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.17.2)
[2013-03-29 08:44:04 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW
[2011-12-18 15:56:17 | 002,161,160 | ---- | C] (DownVision ) -- C:\Users\oem\AppData\Local\setup.exe
[2013-02-28 13:19:20 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:81F83028
@Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:41099CE9
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:981884E7
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:029E021F
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:5D458568
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:D20FFA63
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:3E7393FC
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:D1B5B4F1

:Files
C:\Program Files (x86)\Google\Update
C:\Program Files (x86)\MSN Toolbar
C:\Windows\tasks\*.*
C:\Users\oem\AppData\Local\{A5B6C014-42A4-4D52-BB4F-33FDB51CD69B}
C:\Users\oem\AppData\Local\{B3B22B43-F24A-4E6E-962C-EABDB4F0BF0A}
C:\Users\oem\AppData\Roaming\Asus WebStorage
C:\Users\oem\AppData\Roaming\Registry Mechanic
C:\Users\oem\AppData\Roaming\Unity

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników ( z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

Post29 mar 2013, 10:49

Przy odinstalowywaniu Asus WebStorage pojawiło się kilka okienek i pytanie czy chcesz zachować dane kopii zapasowej, co zrobić?
Korzystam z laptopa Asus

Post29 mar 2013, 11:01

zagubionyktos pisze:Przy odinstalowywaniu Asus WebStorage pojawiło się kilka okienek i pytanie czy chcesz zachować dane kopii zapasowej, co zrobić?
Korzystam z laptopa Asus

Możesz ich nie zachowywać.

Post29 mar 2013, 11:36

Log z usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

-- 29 mar 2013, 12:08 --

Przy ponownym włączeniu komputera wyskoczyło mi takie coś:
Zapora systemu windows zablokowała niektóre funkcje tego programu
Nazwa: Java(TM) Platform SE binary
Zezwól programowi na połączenia w tych sieciach:
sieci prywatne (odznaczone)
sieci publiczne (zaznaczone)
Zezwalaj na dostęp lub Anuluj
Zrobiłam Anuluj
-- 29 mar 2013, 12:10 --

Tego programu ADWCleaner nie mogę pobrać z tej strony

-- 29 mar 2013, 12:18 --

Kaspersky TDSSKiller:
Dostępne tylko dla zarejestrowanych użytkowników

Post29 mar 2013, 11:41

Tego programu ADWCleaner nie mogę pobrać z tej strony

Pobierz innej, choć ciekawi mnie powód czemu z tej nie możesz. Nie rób nowych logów zanim nie użyjesz ADWCleaner (Dostępne tylko dla zarejestrowanych użytkowników).

Post29 mar 2013, 12:35

ADWCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

Zaraz dodam logi z OTL

-- 29 mar 2013, 13:05 --

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-- 29 mar 2013, 13:35 --

To już wszystko? Bo jak tak to dziękuję, wszystko już działa poprawnie

Post29 mar 2013, 13:13

ADWCleaner.

Odinstaluj.

Logi.

Dorzuć log z Autoruns (chce Ci przyśpieszyć system).

Post29 mar 2013, 14:07

Jak zrobić loga z tego programu?

-- 29 mar 2013, 15:07 --

Chodzi o to? :
Dostępne tylko dla zarejestrowanych użytkowników

Post29 mar 2013, 14:16

zagubionyktos pisze:Jak zrobić loga z tego programu?

-- 29 mar 2013, 15:07 --

Chodzi o to? :
Dostępne tylko dla zarejestrowanych użytkowników

Log wykonany dobrze, aczkolwiek czemuś ukazuje się pusta zawartość. Zrób log raz jeszcze, ale tym razem w trybie awaryjnym

.

Post29 mar 2013, 15:47

Mam nadzieję, że teraz jest ok:
Dostępne tylko dla zarejestrowanych użytkowników

Post29 mar 2013, 18:37

zagubionyktos pisze:Mam nadzieję, że teraz jest ok:
Dostępne tylko dla zarejestrowanych użytkowników

Nadal log pusty. Zabawna sprawa. A z Uruchom, jako Administrator?

Post29 mar 2013, 19:22

Może coś źle robię? Jeśli to nie jest niezbędne to może dajmy już temu spokój. I tak jestem bardzo wdzięczna za pomoc

Post29 mar 2013, 20:31

zagubionyktos pisze:Może coś źle robię? Jeśli to nie jest niezbędne to może dajmy już temu spokój. I tak jestem bardzo wdzięczna za pomoc

Wiesz co? Chciałbym przyśpieszyć ci komputer. Jeśli znów się nie uda to po prostu pomęczę się w wersji tekstowej

.

Post29 mar 2013, 20:47

Dziękuję, że tak się starasz:
Dostępne tylko dla zarejestrowanych użytkowników