Obfuscator.c-wirus

[Ponury83]

Witam,
Microsoft security Essential wykrywa mi wirusa :VirTool:win32/Obfuscator.C -ale nie może go usunąć .to było dwa dni temu ,do tego doszły kolejne problemy :
-windows security alert - spamuje mi pasek narzędzi co chwila nowymi alertami o wirusie.Nic nie mogę włączyć . Próbowałem zadziałać tak jak radził Staszek w tym poście
windows-security-alert-antispyware-soft-demo-vp894154.html no ale tu właśnie pojawia się trzeci problem .
- Nie mogę pokazać ukrytych folderów ;/
Proszę o pomoc jakiegoś super magika


Wykonałem skan SDFix-em i OTL . Zamieszczam raporty :
SDFix
http://www.wklej.org/id/465220/
OTL
http://www.wklej.org/id/465222/

Pozdrawiam
Ponury

[wojtas]

Sdfixa już dawno nie używamy. nie wstawiłeś wszystkich wymaganych logów : klik
- Gmer i drugi log z OTL, przy gmerze pamiętaj :

DRV - [2010-01-23 10:35:36 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
PRC - [2010-02-07 21:42:07 | 000,032,838 | ---- | M] (MyWebSearch.com) -- C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
PRC - [2010-02-07 21:42:07 | 000,032,838 | ---- | M] (MyWebSearch.com) -- C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
IE - HKU\S-1-5-21-1482476501-484061587-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=ZRfox000&ptb=GjcCG1hH8qG.VGmGlDIxpA
IE - HKU\S-1-5-21-1482476501-484061587-1801674531-1003\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=GjcCG1hH8qG.VGmGlDIxpA&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=kwd&n=77ce7b6b&searchfor="
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O4 - HKLM..\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [PROFIS AutoUpdate] File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\Run: [WinampAgent] File not found
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [cdoosoft] File not found
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [dso32] File not found
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [mssend] C:\Documents and Settings\Właściciel\Dane aplikacji\xy1gsgv2ogfmjgfbattgfn1uc1jnsjsh2\svcnost.exe (Foxit Corporation)
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [nod32] File not found
O4 - HKU\S-1-5-21-1482476501-484061587-1801674531-1003..\Run: [uwnpkbrg] File not found
O33 - MountPoints2\{1075328e-3cec-11df-8089-1c4bd61f39cc}\Shell\AutoRun\command - "" = G:\affi8l.exe
O33 - MountPoints2\{1075328e-3cec-11df-8089-1c4bd61f39cc}\Shell\open\Command - "" = G:\affi8l.exe
O33 - MountPoints2\{8f491429-87fc-11df-80fd-1c4bd61f39cc}\Shell\AutoRun\command - "" = G:\affi8l.exe
O33 - MountPoints2\{8f491429-87fc-11df-80fd-1c4bd61f39cc}\Shell\open\Command - "" = G:\affi8l.exe
O33 - MountPoints2\{9a2cd152-8fe7-11df-810b-a4ab37a10e81}\Shell\AutoRun\command - "" = G:\yqq8eqil.exe
O33 - MountPoints2\{9a2cd152-8fe7-11df-810b-a4ab37a10e81}\Shell\open\Command - "" = G:\yqq8eqil.exe
O33 - MountPoints2\{dc8b6b12-1d5b-11e0-819b-c0a6f994cf06}\Shell\AutoRun\command - "" = G:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b12-1d5b-11e0-819b-c0a6f994cf06}\Shell\explore\command - "" = G:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b12-1d5b-11e0-819b-c0a6f994cf06}\Shell\Install\command - "" = G:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b12-1d5b-11e0-819b-c0a6f994cf06}\Shell\open\command - "" = G:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b13-1d5b-11e0-819b-c0a6f994cf06}\Shell\AutoRun\command - "" = H:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b13-1d5b-11e0-819b-c0a6f994cf06}\Shell\explore\command - "" = H:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b13-1d5b-11e0-819b-c0a6f994cf06}\Shell\Install\command - "" = H:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{dc8b6b13-1d5b-11e0-819b-c0a6f994cf06}\Shell\open\command - "" = H:\ispodkrila\\\beloggrada.exe
O33 - MountPoints2\{e5191f4a-4b25-11df-80ab-a093e5c2a3d4}\Shell\AutoRun\command - "" = G:\affi8l.exe
O33 - MountPoints2\{e5191f4a-4b25-11df-80ab-a093e5c2a3d4}\Shell\open\Command - "" = G:\affi8l.exe
@Alternate Data Stream - 188 bytes -> C:\Documents and Settings\Właściciel\Moje dokumenty\untitled23.3d:SummaryInformation
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\Właściciel\Moje dokumenty\untitled23.3d:DocumentSummaryInformation
@Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1

:Files
C:\PROGRAM FILES\MYWEBSEARCH
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\asbz4jy3.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\asbz4jy3.default\searchplugins\mywebsearch.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\asbz4jy3.default\searchplugins\web-search.xml
C:\DOCUMENTS AND SETTINGS\WłAśCICIEL\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\ASBZ4JY3.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
C:\Program Files\PDFCreator Toolbar
C:\Documents and Settings\Właściciel\Dane aplikacji\xy1gsgv2ogfmjgfbattgfn1uc1jnsjsh2
C:\Documents and Settings\Właściciel\Dane aplikacji\xsu3rubxdt1vwuuxmqtcbraah2hc2txj2
C:\Documents and Settings\Właściciel\Dane aplikacji\xcb1btkavlj32hizzs1ozqkcrg3hcihm2
C:\Documents and Settings\Właściciel\Dane aplikacji\1vodsvpubn1ydztugosj3inqivipf1c2
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\syssvc.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). Do tego drugi log z OTL, i Gmer + Przy podpiętym urządzeniu przenośnym (pendrive, telefon - to co jest podłączane do kompa) , uruchom USBFIX z opcji Listing i pokaż raport na forum.

[Ponury83]

OTL raport z czyszczenia- http://www.wklej.org/id/465321/
OTL nowy raport - http://www.wklej.org/id/465322/
usbfix- http://www.wklej.org/id/465323/

GMER- http://www.wklej.org/id/465328/

Pozdrawiam
Ponury

[wojtas]

usbfixa nie odpaliłeś z opcji LIsting...


*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Internet Explorer 8
>>> Java™ 6 Update 23

[Ponury83]

hej,
zrobiłem wszystkie punkty ,o których piszesz za wyjątkiem jednej aktualizacji adobe ,bo do tego potrzebuje netu ,no i jeszcze aktualizacji antywirusa ^^
Zablokowało mi net ,znaczy od wczoraj nie mogę się połączyć z siecią z kompa zainfekowanego ,ani w pracy ani w domu .Ustawienia sieciowe są poprawne ,natomiast serwer proxy odrzuca połączenie.Nie wiesz co może być przyczyną?
Po tej całej akcji wysłać Ci jakieś raporty ?Chciałbym być pewien że już wszystko jest ok ,a sam nie potrafię tego ocenić.

Pozdrawiam
Ponury
Internet już działa:D Malwarebytes Anti-Malware ściągnął aktualizacje i usunął problem .
"Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully."

[wojtas]

nie już nie potrzebuje, jak sytuacja ?

Autor postu otrzymał pochwałę

[Ponury83]

Wygląda że wszystko jest ok ,problem był tylko z tym netem ale też już działa.

Dzięki wielkie za szybką pomoc.
Pozdrawiam
Ponury