malicious code ? Jak to usunąć?Problem z systemem...

[1979patrol 0]

Czasem po uruchomieniu przeglądarki wyskakuje mi okno z malicious code, że jest komputer zainfekowany i uruchamia się jakiś szybki skan informujący mnie o trojanach na dyskach i w folderach. Dzieje się tak od tygodnia. Może to muzyka z rapida? Nie wiem. Ale przeskanowałem Malwarebytes' Anti-Malware i nic nie znalazł. Usunąłem wpisy z rejestru ale tylko mi zaszkodziło, gdyż odinstalowało mi program do rarowania i footbar2000 ;0 innych rzeczy nie sprawdzałem. Dlatego proszę was o pomoc drodzy koledzy i koleżanki. Poniżej są linki do logów z OTL.

otl.txt

extras.txt

Próbowałem zrobić odzyskiwanie systemu, ale nie powiodło się. Teraz zauważyłem, że usunąłem HKEY_LOCAL_MACHINE Uninstall List i chyba wszystko mi się sypło. Czy można to odzyskać, czy pozostało mi tylko zainstalować od nowa?

[tehawanka 0]

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="

O4 - HKLM..\RunServices: [PlatformStandard] c:\program files\java\jre1.5.0_10\bin\client\standardjavatm.exe File not found

O4 - HKU\S-1-5-21-2629863751-623247539-1651241097-1006..\Run: [{9C27177E-F33F-82F3-D633-BA622DCACB21}] C:\Documents and Settings\Patryk\Application Data\Uzfiy\duqo.exe ()

 

:Files

C:\Documents and Settings\Patryk\Application Data\Uzfiy

C:\Documents and Settings\Patryk\Local Settings\Application Data\TA45p2

C:\Documents and Settings\All Users\Application Data\TA45p2

 

:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż nowy log Skanuj.

Skoro przywracanie nie pomogło to raczej nie odzyskasz tego klucza.

[1979patrol 0]

Już za momencik będzie log.

Czyli co do kluczy to nie da rady trzeba będzie ręcznie zrobić reinstal. A swoją drogą może wiesz jeśli mam legalny win xp, który został zakupiony razem z laptopem 4 lata temu, a nie mogę zrobić formatu gdyż nie mam windy na płycie, to czy mogę wykorzystać płytę np. kolegi z jego windą skoro mam klucz rejestracyjny swój(nalepka na lapsie)? czy nie można tak robić bo to nielegalne ;P

[1979patrol 0]

i jak? co teraz? mam tylko plik otl.txt nie powinno być dwóch plików?otl.txt

 

ok. Muszę do pracy, więc jutro się pobawię dalej. Dzięki.

[1979patrol 0]

Nadal wyskakuje mi okno z malicious code. Może jakieś sugestie?

[tehawanka 0]

To jest wirus Ramnit który infekuje pliki wykonywalne.

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.109.67.72 213.109.77.23

Masz ustawione jakieś rosyjskie DNS'y To chyba nie są od twojego dostawcy internetu?

 

Wklej i kliknij Wykonaj skrypt:

:OTL

O4 - HKU\S-1-5-21-2629863751-623247539-1651241097-1006..\Run: [{9C27177E-F33F-82F3-D633-BA622DCACB21}] C:\Documents and Settings\Patryk\Application Data\Uzfiy\duqo.exe File not found

O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()

 

:Files

c:\Program Files\Microsoft\DesktopLayer.exe

C:\Documents and Settings\Patryk\Application Data\Uzfiy

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

:Commands

[clearallrestorepoints]

[emptytemp]

Później skanuj różnymi skanerami i jeśli będzie taka możliwość lecz zainfekowane pliki.

Dr.Web CureIt

Kaspersky Virus Removal Tool

Skanery online: Klik Klik Klik Klik

Na temat licencji poszukaj w dziale Windows, bo były podobne tematy.

[1979patrol 0]

Wciąż wyskakuje mi okno takie jak w linku. To jakiegoś typu przekierowanie ze stron web, ale nie mam pojęcia jak sie tego pozbyć. Mój link lub

 

<a href='http://zapodaj.net/f2ac5bcb3116.jpg.html'>http://zapodaj.net/f2ac5bcb3116.jpg.html</a>

 

Mógłbyś mi pomóc?

[tehawanka 0]

Czego nie zrozumiałeś?

Chyba napisałem, że wirus infekuje pliki wykonywalne i masz ustawione rosyjskie DNS'y

Skoro nie chcesz skanować żeby próbować usunąć wirusa, to pozostaje reinstalacja systemu.

c:\Program Files\Microsoft\DesktopLayer.exe

Na forum był przypadek z tym plikiem, który wskazuje wirusa Ramnit i zobacz ile zainfekowanych plików wykryły Dr.Web CureIt i Kaspersky Virus Removal Tool

http://img203.imageshack.us/img203/92/0002b.png

http://img291.imageshack.us/img291/1223/0001oh.png

http://img440.imageshack.us/img440/3683/0002ib.png

[1979patrol 0]

Wczoraj cały wieczór straciłem skanowanie, naprawianie, usuwanie i nadal mam co mam. Ok. skoro to wciąż ten DNS to powalczę od nowa. A co z DNS czy powinienem coś zmienić w ustawieniach?

[tehawanka 0]

Wejdź na stronę dostawcy internetu i poszukaj informacji jak skonfigurować połączenie sieciowe.

Poczytaj tutaj

Czy skanery które zalecałem nadal coś wykrywają?

Jeżeli jeszcze nie skanowałeś to użyj skanera ESET Online Scanner

Po skanowaniu możesz pokazać nowy log z OTL.

[1979patrol 0]

Wybacz ale nie mam tak wiele czasu jak bym chciał niestety, już sam się gubię co juz zrobiłem a czego nie. Ale odnośnie skanerów wciąż pokazują tego virusa, ale z braku czasu nie dokończyłem skanowania Kasperskym, Dr.Web znalazł co trzeba ale nie usunął tylko naprawił tyle że po restarcie komp się nie włączył. Zatem zakładam, że nie zrestartował się co za tym idzie muszę dzisiaj ponowić procedury. Dzięki za cierpliwość ale to trochę potrwa. Dzisiaj jeszcze mecz na sopcascie chciałem obejrzeć więc mam motywacje, aby to skończyć przed meczem

[tehawanka 0]

Lepiej poważnie się zastanów, czy nie lepiej reinstalować system, bo będzie szybciej i dodatkowo będziesz miał sprawny system.

Skoro po skanowaniu był problem z uruchomieniem systemu, to muszą być zainfekowane pliki systemowe.

Ja na Twoim miejscu zrobiłbym reinstalacje, a później wykonał obraz partycji systemowej.

[1979patrol 0]

a skąd wezmę win xp? kiedy kupiłem laptopa to już tu był a płyty nie dostałem, więc nie wiem jak. Wieczorem lub jutro dam znać co zrobiłem, teraz zabieram się od początku za Dr.Web'a. Trzymam kciuki.

[1979patrol 0]

To znowu ja.

Mam pytanie bo skanowałem Avastem i wykrył zagrożenie w postaci winlogon.exe, czy lepiej usunąc czy dać kwarantanne gdyż naprawić nie może bo jest używany przez inny program. I to mi świta że może być win32.malwaregen. Dr.Web przeszedł test pomyślnie, Kaspsersky jeszcze nie skończył. Co o tym myślisz usunąc ten winlogon?

log z bitdefenderMój link

[tehawanka 0]

Zostaw ten plik w spokoju, bo jeżeli Avast usunie lub uszkodzi to nie uruchomisz systemu.

Bitefender wykrył zinfekowany inny plik systemowy: C:\WINDOWS\explorer.exe

Lepiej pożycz od kogoś płytę z Windows, bo ten system może nie będzie długo działał.

Skoro masz oryginalny klucz to nie ma problemu.

[1979patrol 0]

no nieźle. W marcu kupuję nowego kompa i system win 7, i do marca muszę przeżyć na tym co mi pozostało. Ale ok dzięki za wszystko zrobię jak radzisz.