Arturr0
(Arturbra)
22 Styczeń 2011 21:40
#1
Witam otóż od pewnego czasu w Autostarcie siedzi plik o nazwie " windate.exe ". Próbowałem usunąć ten plik na różne sposoby lecz nie udało mi się tego dokonać.
Każda próba usunięcia tego pliku kończyła się tym samym komunikatem:
Logi:
http://www.wklej.eu/index.php?id=8a5e39c472 ----- OTL.txt
http://www.wklej.eu/index.php?id=1e92644181 ----- Extras.txt
Z góry dziękuję za pomoc.
windate.exe / windata.exe - Trojan / Backdoor. Usuwać za pomocą:
Zainstalować Comodo Internet Security - http://www.dobreprogramy.pl/Comodo-Inte … 12952.html / zalecana konfiguracja - http://unlimitedteam.w.interii.pl/index.html /
Wykonać skan całego PC.
Wykonać skan za pomocą. Postępować zgodnie z zaleceniami.
1.Kaspersky Rescude Disk / http://support.kaspersky.com/pl/faq/?qid=208282170 . Obraz ISO-Boot. Skan z CD.
Wykonać skan za pomocą Malwarebytes - http://fileforum.betanews.com/detail/Ma … 86760019/1
Sprawdzić czy zainstalowany system ma aktualne aktualizacje.
Acorus
(Acorus)
23 Styczeń 2011 09:44
#3
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL PRC - [2008-12-09 18:40:16 | 000,464,264 | ---- | M] () – E:\Program Files\AskBarDis\bar\bin\AskService.exe PRC - [2008-12-09 18:40:16 | 000,234,888 | ---- | M] () – E:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe SRV - [2008-12-09 18:40:16 | 000,464,264 | ---- | M] () [Auto | Running] – E:\Program Files\AskBarDis\bar\bin\AskService.exe – (ASKService) SRV - [2008-12-09 18:40:16 | 000,234,888 | ---- | M] () [Auto | Running] – E:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe – (ASKUpgrade) IE - HKU\S-1-5-21-1343024091-796845957-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1343024091-796845957-839522115-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKU\S-1-5-21-1343024091-796845957-839522115-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [Arcor Online] File not found O4 - Startup: E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe () [2010-12-28 15:30:28 | 000,489,223 | ---- | M] () – E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe [2010-12-28 15:15:40 | 000,489,223 | ---- | C] () – E:\WINDOWS\windate.exe [2010-12-28 15:15:40 | 000,489,223 | ---- | C] () – E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Arturr0
(Arturbra)
23 Styczeń 2011 12:20
#4
Dziękuję za szybką odpowiedź.
Raport z usuwania:
http://wklej.eu/index.php?id=9b0cf9aa75
Logi po przeskanowaniu :
http://wklej.eu/index.php?id=ccc0511404 <— OTL.txt
PS. Sprawdzałem autostart ten trojan ciągle tam siedzi.
Leon1
(Leon$)
23 Styczeń 2011 12:34
#5
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2010-12-28 15:30:28 | 000,489,223 | ---- | M] () – E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) [2009-04-30 17:54:12 | 000,000,000 | —D | M] (“Ask Toolbar for Firefox”) – E:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\okk0b9go.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} O3 - HKU\S-1-5-21-1343024091-796845957-839522115-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKLM…\Run: [Arcor Online] File not found O4 - Startup: E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe () [2010-12-28 15:30:28 | 000,489,223 | ---- | M] () – E:\Documents and Settings\Artur\Menu Start\Programy\Autostart\windate.exe [2010-12-28 15:15:40 | 000,489,223 | ---- | C] () – E:\WINDOWS\windate.exe [2011-01-23 12:56:56 | 000,000,462 | -H-- | M] () – E:\WINDOWS\Tasks\User_Feed_Synchronization-{D500A952-A25C-4DEB-9E7D-52F1502C40B8}.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Arturr0
(Arturbra)
23 Styczeń 2011 12:56
#6
Ok, dzięki. Teraz już nie ma tego dziadostwa w autostarcie.
Raport z usuwania:
http://wklej.eu/index.php?id=ff61dcd6c9
Logi ze skanowania:
http://wklej.eu/index.php?id=912c0ffe9e <----- OTL.txt
Acorus
(Acorus)
23 Styczeń 2011 13:10
#7
Jak to wklejasz.Pomijasz chyba :OTL .Wklej jeszcze raz i powtórz usuwanie.
Leon1
(Leon$)
23 Styczeń 2011 13:19
#8
wklej skrypt włącznie z dwukropkiem przed OTL
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) [2009-04-30 17:54:12 | 000,000,000 | —D | M] (“Ask Toolbar for Firefox”) – E:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\okk0b9go.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} O3 - HKU\S-1-5-21-1343024091-796845957-839522115-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - E:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKLM…\Run: [Arcor Online] File not found [2011-01-23 12:56:56 | 000,000,462 | -H-- | M] () – E:\WINDOWS\Tasks\User_Feed_Synchronization-{D500A952-A25C-4DEB-9E7D-52F1502C40B8}.job :Files E:\Program Files\AskBarDis :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Arturr0
(Arturbra)
23 Styczeń 2011 13:33
#9
Wklejam cały skrypt łącznie z " :OTL " lecz gdy tylko kliknę " Wykonaj skrypt " wyskakuje mi komunikat o treści " Access violation at address 005CC7ED in module ‘OTL.exe’.Read of address 00000000 " gdy kliknę " Ok " to automatycznie usuwa mi linijkę z " :OTL ".
Ps. Z autostartu zniknął mi ten plik o nazwie " windate.exe ".
Acorus
(Acorus)
23 Styczeń 2011 13:40
#10
Usuń OTL komendą Sprzątanie.Pobierz nowego i spróbuj jeszcze raz.
Arturr0
(Arturbra)
23 Styczeń 2011 14:01
#11
Leon1
(Leon$)
23 Styczeń 2011 14:05
#12
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://www.bezpieczenstwosystemow.pl/in … opic=116.0
W OTL kilknij CleanUp (Sprzątanie)
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
możesz włączyć przywracanie