IwanPL
(Iwanpl)
12 Lipiec 2012 20:17
#1
Witam mam problem bo własnie odkąd zauważyłem w procesach ten plik komputer zaczął mi mulić szczególnie internet próbowałem to usunąć niestety ciagle dostaje “ODMOWA DOSTĘPU” - bardzo proszę o pomoc być może to nie jest jedyny powód że ogólnie zaczęło mulić ale tak mi się wydaje
odrazu daje logi
OTL. txt http://wklej.org/id/789219/
Extras.txt http://wklej.org/id/789356/
Acorus
(Acorus)
12 Lipiec 2012 20:36
#2
Odinstaluj LiveVDO plugin 1.3,Skaner on-line mks_vir,V9 HomeTool,vShare.tv plugin 1.3.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331001684_454099 IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM…\SearchScopes{A63C6D0E-A52D-41DE-BBE9-58CA774DEC01}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a4 … 00da497&q={searchTerms} IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331001684_454099 IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003…\SearchScopes{A63C6D0E-A52D-41DE-BBE9-58CA774DEC01}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=a4 … 00da497&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…browser.search.selectedEngine: “Search” FF - prefs.js…keyword.URL: “http://search.skipity.com/?source=ab&q= ” [2011-11-17 20:25:44 | 000,002,333 | ---- | M] () – C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\askcom.xml [2012-04-04 12:35:47 | 000,002,306 | ---- | M] () – C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\askcomsearch.xml [2012-03-08 22:50:16 | 000,002,710 | ---- | M] () – C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\skipity-search.xml [2012-03-27 21:57:18 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\startsear.xml [2011-08-22 21:48:41 | 000,001,565 | ---- | M] () – C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\web-search.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-606747145-1958367476-725345543-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKU\S-1-5-21-606747145-1958367476-725345543-1003…\Run: [0i763f66bz] C:\Documents and Settings\Paweł\0i763f66bz.exe () [2012-07-12 18:10:37 | 000,000,278 | ---- | M] () – C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job [2012-07-12 18:01:01 | 000,000,234 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-07-10 19:12:57 | 000,038,400 | ---- | M] () – C:\Documents and Settings\Paweł\0i763f66bz.exe @Alternate Data Stream - 65 bytes -> C:\Documents and Settings\All Users\Pulpit:$ES_DESCRIPTOR_MVPUV1PKSVXJKX69UK1CWPP0DTVNYKM1UVXPJCEPP4DMJ3K1XYE7LRJEM53EPPJCFPLP45168LPSB5PL0EM6REGXHCTVVVVVVVVVVVVV @Alternate Data Stream - 65 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Sports Interactive:$ES_DESCRIPTOR_MVPUV1PKSVXJKX69UK1CWPP0DTVNYKM1UVXPJCEPP4DMJ3K1XYE7LRJEM53EPPJCFPLP45168LPSB5PL0EM6REGXHCTVVVVVVVVVVVVV @Alternate Data Stream - 100 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
IwanPL
(Iwanpl)
12 Lipiec 2012 22:06
#3
http://wklej.org/id/789494/
Nowe LOG OTL
http://wklej.org/id/789499/
ps. ale ciągle plik 0i763f66bz.exe jest w procesach i za cholere nie chce się usunąć
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Następnie pokaż nowy raport OTL
IwanPL
(Iwanpl)
13 Lipiec 2012 16:31
#5
http://wklej.org/id/789893/ - avenger.txt
w trakcie skanowania OTL wyskoczyło mi coś takieg
a to raport z OTL - http://wklej.org/id/789906/
niebyło pliku backup.zip tylko backup.reg wiec jego usunołem
mam jeszcze Folder Avenger w ktorym jest plik 0i763f66bz.exe oraz 3b593bed95ba128d.sys czy z nimi mam też coś zrobić ?
Folder Avenger proszę usunąć przez Shift+Del jeśli będzie problem proszę pisać
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
IwanPL
(Iwanpl)
13 Lipiec 2012 16:57
#7
po wykonaniu skrypyta - http://wklej.org/id/789913/
nowy log - http://wklej.org/id/789915/ niestety w trakcie skanowania wyskoczyło to samo okienko co dałem wyżej
Raport wydaje się być czysty. Rootkit wygląda na usunięty. Tego typu poważne infekcje nie usuwa się OTL’em, bo on sobie po prostu nie poradzi.
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Teraz proszę wykonać pełne skanowanie Dr.WEB CureIt! Będzie to trwać ale musisz mieć pewność że system czysty.
Tym zajmę się na koniec jak będę pewny że nic nie zostało.
IwanPL
(Iwanpl)
13 Lipiec 2012 18:39
#9
no zrobiłem wszystko w sumie znalazło 1 rzecz zapisałem ją do pliku
http://www.sendspace.pl/file/4c26472ee0a440f005bb61f
– Dodane 14.07.2012 (So) 16:32 –
i jak co mam dalej robić ?
Usuń ten plik który znalazł DrWeb
Podmień pliki eventlog.dll oraz eventvwr.exe Instrukcja
IwanPL
(Iwanpl)
16 Lipiec 2012 14:00
#11
no zrobiłem to wszystko jak trzeba i powinno byc OK co a co z tym błędem OTL ?
Sprawdź czy możesz otworzyć dziennik zdarzeń. Jeśli tak wyczyść go http://technet.microsoft.com/pl-pl/libr … 10%29.aspx
IwanPL
(Iwanpl)
21 Lipiec 2012 20:16
#13
tak to wygląda mam to wszystko usunąć ?
Atis
(Atis)
21 Lipiec 2012 20:19
#14
Kliknij prawym na każdym dzienniku i z menu kontekstowego wybierz Wyczyść wszystkie zdarzenia.
IwanPL
(Iwanpl)
21 Lipiec 2012 20:49
#15
w takim razie podaje log z OTL http://wklej.org/id/795321/ - OTL
czy wszystko już jest wporządku ?
– Dodane 21.07.2012 (So) 22:51 –
ps chciałbym dodać ze przed chwilą miałem jakąś FBI blokade ale przywróciłem system i zniknęła może są jakieś tego ślady?
Log OTl był robiony przed czy po tym zdarzeniu, bo jeśli przed to proszę odinstalować Spybota i wykonać nowy skan OTL. Po czym zaprezentuj nowy raport na forum.
IwanPL
(Iwanpl)
22 Lipiec 2012 16:57
#17
był robiony po a spybotem skanuje codziennie i nic zwykle nieznajduje