Witam
Mam problem z usunięciem Protection antyvirus 2012.
Mój system to Windows XP
Log http://wklej.org/id/723904/
Extras http://wklej.org/id/723906/
z góry dziękuję za pomoc.
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej
:OTL
PRC - [2012-04-03 01:33:04 | 000,832,512 | ---- | M] () -- C:\WINXP\Temp\temp68.exe
PRC - [2012-04-03 01:32:24 | 003,911,683 | ---- | M] (Joirefers secusoft) -- C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\securityhelper.exe
PRC - [2012-04-01 16:02:49 | 000,107,008 | ---- | M] (Joirefers secusoft) -- C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\securitymanager.exe
PRC - [2012-04-01 16:02:48 | 002,328,576 | ---- | M] (Joirefers secusoft) -- C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\AntivirusProtection2012.exe
O4 - HKCU..\Run: [2tnbncuwulwj] C:\Documents and Settings\Iwona\Local Settings\Temp\32018140.exe (Joirefers secusoft)
O4 - HKCU..\Run: [Antivirus Protection] C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\AntivirusProtection2012.exe (Joirefers secusoft)
O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\securityhelper.exe (Joirefers secusoft)
O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\Iwona\Application Data\Antivirus Protection\securitymanager.exe (Joirefers secusoft)
[2012-04-03 01:32:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Iwona\Start Menu\Programs\Antivirus Protection
[2012-04-03 01:32:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Iwona\Application Data\Antivirus Protection
[2012-04-03 18:01:21 | 000,001,030 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2012-04-03 18:01:19 | 000,000,306 | -HS- | M] () -- C:\WINXP\tasks\Dzyp.job
[2012-04-03 01:32:34 | 000,001,925 | ---- | M] () -- C:\Documents and Settings\Iwona\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Protection.lnk
[2012-04-03 01:32:33 | 000,001,947 | ---- | M] () -- C:\Documents and Settings\Iwona\Desktop\Antivirus Protection.lnk
:Commands
[emptytemp]
pokaz log z czyszczenia
usuń pluginy vShare , Bar używając CCleaner
Log z czyszczenia http://wklej.org/id/723981/
Wygląda na to że program się usunął ale pojawił się jeszcze po wcześniejszym skanowaniu Smart Fortress 2012
Log z ponownego skanowania http://wklej.org/id/723995/
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej
:OTL
PRC - [2012-04-03 18:33:53 | 000,454,656 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\F4D55F32000172F86225B595D151FC4E\F4D55F32000172F86225B595D151FC4E.exe
MOD - [2012-04-03 18:33:53 | 000,454,656 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\F4D55F32000172F86225B595D151FC4E\F4D55F32000172F86225B595D151FC4E.exe
SRV - File not found [Auto | Stopped] -- C:\WINXP\TEMP\mdscku\setup.exe run -- (AMService)
IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (SFT_Polska Toolbar) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (SFT_Polska Toolbar) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (SFT_Polska Toolbar) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - C:\Program Files\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [IntelAgent] C:\WINXP\Temp\temp68.exe File not found
O4 - HKCU..\RunOnce: [F4D55F32000172F86225B595D151FC4E] C:\Documents and Settings\All Users\Application Data\F4D55F32000172F86225B595D151FC4E\F4D55F32000172F86225B595D151FC4E.exe ()
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll
[2012-04-03 18:37:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Iwona\Start Menu\Programs\Smart Fortress 2012
[2012-04-03 18:33:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\F4D55F32000172F86225B595D151FC4E
[2012-04-03 20:13:09 | 000,000,278 | ---- | M] () -- C:\WINXP\tasks\RealUpgradeLogonTaskS-1-5-21-1801674531-602609370-1177238915-1003.job
[2012-04-03 18:37:55 | 000,001,324 | ---- | M] () -- C:\Documents and Settings\Iwona\Desktop\Smart Fortress 2012.lnk
[2012-03-27 02:27:00 | 000,000,286 | ---- | M] () -- C:\WINXP\tasks\RealUpgradeScheduledTaskS-1-5-21-1801674531-602609370-1177238915-1003.job
[2012-04-03 18:37:55 | 000,001,324 | ---- | C] () -- C:\Documents and Settings\Iwona\Desktop\Smart Fortress 2012.lnk
[2012-04-03 01:32:33 | 000,001,953 | ---- | C] () -- C:\Documents and Settings\Iwona\Start Menu\Programs\Antivirus Protection.lnk
:commands
[emptytemp]
wykonaj skrypt
– Dodane 03.04.2012 (Wt) 21:04 –
pamiętaj żeby odinstalować programem ccleaner wszystkie toolbary :
Dziękuję za pomoc. Wszystko działa poprawnie.
klopers33 , Proszę odebrać PW
iwcianka , Kto usunie rootkita zeroaccess. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierasz Skip
Rozpocznij od użycia Combofixa instrukcja jak przygotować system pod skan Combofixem http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Uruchom Combofixa jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum.
Bardzo dobrze pomału do przodu.
Start - Panel sterowania - Dodaj usuń programy - znajdź i odinstaluj
Odinstaluj Combofixa w prawidłowy sposób. Start - Uruchom - wpisujesz lub skopiuj
“c:\documents and settings\Iwona\Desktop\ComboFix.exe” /uninstall i Enter
Ten folder chyba jest do usunięcia, ale sprawdź co w nim jest.
Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport OTL.txt
Combofixa nie dało się usunąć tym sposobem co Pan podał bo wołał żeby zamknąć antywirusa, po czym wykrywał jeszcze jego istnienie (pewnie dlatego że nie odhaczyłam ptaszków w ustawieniach).
Nie pisał Pan żeby ponownie skanować Combofixem więc zrobiłam restart, usunąć go normalnie z pulpitu?
Conduit Engine nie dało się usunąć przez dodaj usuń programy, klikałam i nic się nie robiło więc wpisałam wyszukiwarkę usunęłam co znalazło.
BearShare w ogóle w tym okienku nie było, zrobiłam to samo co wcześniej więc chyba wszystko usunęłam w obu przypadkach.
Log z OTL http://wklej.org/id/725242/
Zamknij wszystkie przeglądarki przed wykonaniem skryptu.
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Uruchom OTL klikasz Sprzątanie to powinno usunąć OTL’a wraz z jego kwarantanną
Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport z niego na forum
Wyniki Malwarebytes dla mnie nieistotne. Jak chcesz możesz przenieś do kwarantanny.
Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną
Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*
Klikasz prawym przyciskiem myszy na wuauserv Z menu wyeksportuj i zapisz do pliku, wrzuć plik na jakiś hosting i pokaż tutaj linka do niego
https://hotfile.com/dl/152026868/0a9e16 … v.reg.html
Dziś jak uruchomiłam IE znów jako strona startowa jest http://search.bearshare.net/
wpisałam wyszukiwarkę bearshare nic nie znalazł na dysku.
Przeskanowałam jeszcze programem ESET, wykrył 5 obiektów: http://wklej.org/id/725935/
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Usuń je dodatkowo
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz SystemLook http://jpshortstuff.247fixes.com/SystemLook.html wklej do niego:
Klikasz Look pokaż raport na forum
Start - Uruchom - wpisujesz regedit i Enter
Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
dwuklik na ServiceDll zmień w okienku ścieżkę C:\WINDOWS\system32\wuauserv.dll na C:\WINXP\system32\wuauserv.dll
Zatwierdź zmiany
Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
Ponieważ był tutaj rootkit Zmień wszystkie hasła logowania