Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy posiadam jakiegoś wirusa?

razor9012 09 Lip 2012 16:08 1369 9
  • #1 09 Lip 2012 16:08
    razor9012
    Poziom 6  

    Witam, podejrzewam, że posiadam na swoim komputerze wirusa.

    O to logi z OTL

    OTL.Txt
    http://wklej.to/7Rf8Q

    Extras.Txt
    http://wklej.to/zkY3w

    Pomożecie mi? Bardzo mi na tym zależy.

    0 9
  • Pomocny post
    #2 09 Lip 2012 16:28
    defacto19
    Poziom 13  

    Uruchom OTL i w sekcji (Własne opcje skanowania/Script)wklej:

    Cytat:

    :OTL
    PRC - [2012-07-09 14:56:13 | 000,081,920 | RHS- | M] (tvbZGPaR) -- C:\Documents and Settings\9012\vouehul.exe
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
    DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
    IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=hp&babsrc=lnkry_nt
    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}




    IE - HKU\S-1-5-21-1060284298-606747145-1801674531-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCAND...f0&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
    O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
    O4 - HKLM..\Run: [GEST] m‘|\ü File not found
    O4 - HKU\S-1-5-21-1060284298-606747145-1801674531-1003..\Run: [vouehul] C:\Documents and Settings\9012\vouehul.exe (tvbZGPaR)
    O33 - MountPoints2\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\Shell - "" = AutoRun
    O33 - MountPoints2\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\Shell\AutoRun\command - "" = F:\autorun.exe
    O33 - MountPoints2\{ab25fb90-c1da-11e1-a17e-00038a000015}\Shell - "" = AutoRun
    O33 - MountPoints2\{ab25fb90-c1da-11e1-a17e-00038a000015}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
    O33 - MountPoints2\G\Shell - "" = AutoRun
    O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
    [2012-07-09 14:56:13 | 000,081,920 | RHS- | C] (tvbZGPaR) -- C:\Documents and Settings\9012\vouehul.exe
    [2012-07-09 12:54:30 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1060284298-606747145-1801674531-1003.job
    [2012-05-26 20:15:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\9012\Dane aplikacji\OpenCandy

    :Files
    C:\found.001
    C:\found.000

    :Reg
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

    :Commands
    [emptytemp]



    Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
    Pokaż nowy log OTL.txt oraz raporty z usuwania.


    zastosuj AdwCleaner z opcji Delete
    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


    Wykonaj pełne skanowanie przy pomocy malwarebytes anti-malware
    http://www.malwarebytes.org/
    Przed skanowaniem wykonaj ręczną aktualizację bazy sygnatur wirusów.
    Pokaż raport ze skanowania .

    0
  • #3 09 Lip 2012 16:46
    razor9012
    Poziom 6  

    Już pojawiły się pierwsze problemy z OTL.

    Gdy klikam wykonam skrypt, to okienko znika i nic się już nie pokazuje.

    Chciałbym jeszcze podac iż ostatnio kliklem w dziwny plik z ikonka notatnika. Poźniej dostrzegłem ze ma koncowke .scr. To cos groźnego?

    @edit:
    Skan z Malwarebytes:
    http://wklejto.pl/128610

    0
  • Pomocny post
    #4 09 Lip 2012 17:04
    defacto19
    Poziom 13  

    Wykonaj skrypt w trybie awaryjnym. Tym razem skrypt powinien wykonać się bez problemu.
    Miałeś wykonać pełne skanowanie. wykonaj pełne skanowanie i dopiero pokaż raport.

    0
  • #5 09 Lip 2012 18:25
    razor9012
    Poziom 6  

    Code:
    Malwarebytes Anti-Malware 1.61.0.1400
    
    www.malwarebytes.org

    Wersja bazy: v2012.07.09.08

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    9012 :: DAWID [administrator]

    2012-07-09 17:16:19
    mbam-log-2012-07-09 (18-22-15).txt

    Typ skanowania: Pełne skanowanie
    Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
    Odznaczone opcje skanowania: P2P
    Przeskanowano obiektów: 295552
    Upłynęło: 1 godzin(y), 5 minut(y), 12 sekund(y)

    Wykrytych procesów w pamięci: 0
    (Nie znaleziono zagrożeń)

    Wykrytych modułów w pamięci: 0
    (Nie znaleziono zagrożeń)

    Wykrytych kluczy rejestru: 0
    (Nie znaleziono zagrożeń)

    Wykrytych wartości rejestru: 0
    (Nie znaleziono zagrożeń)

    Wykryte wpisy rejestru systemowego: 0
    (Nie znaleziono zagrożeń)

    wykrytych folderów: 0
    (Nie znaleziono zagrożeń)

    Wykrytych plików: 10
    C:\Documents and Settings\9012\Moje dokumenty\Pobieranie\Launcher Camerion LowPointer\Camerion.exe (Backdoor.Hupigon) -> Nie wykonano akcji.
    C:\Documents and Settings\9012\Moje dokumenty\Pobieranie\moltenmt2\MoltenMT2\metin2.bin (Backdoor.Hupigon) -> Nie wykonano akcji.
    C:\Documents and Settings\9012\Moje dokumenty\Pobieranie\MoltenMT2(1)\MoltenMT2\metin2.bin (Backdoor.Hupigon) -> Nie wykonano akcji.
    C:\Documents and Settings\9012\Pulpit\Balmora.pl\Freak2.exe (Backdoor.Hupigon) -> Nie wykonano akcji.
    C:\Program Files\Metin2 Ravia.eu\game.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.
    D:\Program Files\Balmora Mod\Camerion.exe (Backdoor.Hupigon) -> Nie wykonano akcji.
    D:\Program Files\Camerion\Camerion.exe (Backdoor.Hupigon) -> Nie wykonano akcji.
    D:\Program Files\Camerion\metin2.bin (Backdoor.Hupigon) -> Nie wykonano akcji.
    D:\Program Files\metin na PRIV\game.exe (RiskWare.Tool.CK) -> Nie wykonano akcji.
    D:\System Volume Information\_restore{2374A386-6B9C-4A98-AE36-1C60C7490E63}\RP42\A0079809.exe (Backdoor.Hupigon) -> Nie wykonano akcji.

    (zakończone)


    oraz OTL
    Code:

    All processes killed
    ========== OTL ==========
    No active process named vouehul.exe was found!
    Service EagleXNt stopped successfully!
    Service EagleXNt deleted successfully!
    File C:\WINDOWS\system32\drivers\EagleXNt.sys not found.
    Service Changer stopped successfully!
    Service Changer deleted successfully!
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found.
    HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
    HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
    HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
    HKU\S-1-5-21-1060284298-606747145-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
    Registry key HKEY_USERS\S-1-5-21-1060284298-606747145-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae07101b-46d4-4a98-af68-0333ea26e113}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\GEST deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1060284298-606747145-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\vouehul deleted successfully.
    C:\Documents and Settings\9012\vouehul.exe moved successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9747ebc9-92a6-11e1-81d0-001d7de75d00}\ not found.
    File F:\autorun.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab25fb90-c1da-11e1-a17e-00038a000015}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ab25fb90-c1da-11e1-a17e-00038a000015}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab25fb90-c1da-11e1-a17e-00038a000015}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ab25fb90-c1da-11e1-a17e-00038a000015}\ not found.
    File G:\LaunchU3.exe -a not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
    File G:\LaunchU3.exe -a not found.
    File C:\Documents and Settings\9012\vouehul.exe not found.
    C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1060284298-606747145-1801674531-1003.job moved successfully.
    C:\Documents and Settings\9012\Dane aplikacji\OpenCandy\OpenCandy_B10ACD043E774DE88C3E9AB41DA52435 folder moved successfully.
    C:\Documents and Settings\9012\Dane aplikacji\OpenCandy\B10ACD043E774DE88C3E9AB41DA52435 folder moved successfully.
    C:\Documents and Settings\9012\Dane aplikacji\OpenCandy folder moved successfully.
    ========== FILES ==========
    C:\found.001 folder moved successfully.
    C:\found.000 folder moved successfully.
    ========== REGISTRY ==========
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: 9012
    ->Temp folder emptied: 1864639 bytes
    ->Temporary Internet Files folder emptied: 9460360 bytes
    ->FireFox cache emptied: 90913589 bytes
    ->Google Chrome cache emptied: 18252791 bytes
    ->Flash cache emptied: 2820 bytes
     
    User: Administrator
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: Administrator.DAWID
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->FireFox cache emptied: 6119881 bytes
     
    User: All Users
    ->Flash cache emptied: 35 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2134153 bytes
    %systemroot%\System32 .tmp files removed: 2596 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 16384 bytes
    RecycleBin emptied: 102426 bytes
     
    Total Files Cleaned = 123,00 mb
     
     
    OTL by OldTimer - Version 3.2.53.1 log created on 07092012_171153

    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    0
  • Pomocny post
    #6 09 Lip 2012 18:39
    Kolobos
    Spec od komputerów

    Daj nowy log ze skanowania z OTL.

    0
  • Pomocny post
    #8 09 Lip 2012 18:59
    Kolobos
    Spec od komputerów

    Uzyj ZMIEN i daj wszyskie logi w zalaczniku lub na wklej, a nie w tresci.

    0
  • Pomocny post
    #9 09 Lip 2012 20:15
    defacto19
    Poziom 13  

    Wszystko jest już ok. Usuń to co znalazł MBAM
    W OTL użyj opcji sprzątanie.

    0
  • #10 09 Lip 2012 20:56
    razor9012
    Poziom 6  

    Aha, czyli moge spać spokojnie, nie ma żadnych podejrzanych plików?

    Bardzo dziekuje za poswięcona mi pomoc.

    0