krepsu
(Krepsu)
16 Marzec 2012 15:30
#1
Witam
Mam problem z wirusem jak wyżej. Niezbyt dobrze radze sobie z komputerami. Dlatego proszę o pomoc w wyalienowaniu tegoż ustrojstwa.
Wierzę, że to pomoże:
http://wklej.to/g6QIw
Z góry dziękuję za pomoc.
Leon1
(Leon$)
16 Marzec 2012 16:05
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2012-03-03 22:02:44 | 000,089,088 | ---- | M] (KlureIn) – C:\Documents and Settings\Szuster\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe DRV - File not found [Kernel | On_Demand | Stopped] – -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] – -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] – -- (PCIDump) DRV - File not found [Kernel | System | Stopped] – -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] – -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] – -- (Changer) DRV - File not found [Kernel | System | Stopped] – -- (Cdaudio) DRV - File not found [Kernel | On_Demand | Stopped] – -- (catchme) IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\URLSearchHook: {2c650b7d-aa32-4798-af1a-fd8ef806d89f} - C:\Program Files\Local_Strike\prxtbLoc2.dll (Conduit Ltd.) IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof1.dll (Conduit Ltd.) IE - HKU…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=FE69C7C1-D4DD-4577-A076-EEC803A574FD&apn_sauid=AAB82424-2D97-4BFF-9A0F-66DC47E06A1B& IE - HKU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2258996 FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&apn_uid=FE69C7C1-D4DD-4577-A076-EEC803A574FD&apn_ptnrs=PV&apn_sauid=AAB82424-2D97-4BFF-9A0F-66DC47E06A1B&apn_dtid=YYYYYYYYPL&q= ” [2011-04-25 19:58:10 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\extensions\engine@conduit.com [2011-11-07 01:01:14 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\extensions\toolbar@ask.com [2011-08-23 21:16:36 | 000,002,333 | ---- | M] () – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\searchplugins\askcom.xml [2010-07-25 11:01:18 | 000,002,226 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll File not found O2 - BHO: (LocalStrike Toolbar) - {2c650b7d-aa32-4798-af1a-fd8ef806d89f} - C:\Program Files\Local_Strike\prxtbLoc2.dll (Conduit Ltd.) O2 - BHO: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof1.dll (Conduit Ltd.) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Szuster\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll File not found O3 - HKLM…\Toolbar: (LocalStrike Toolbar) - {2c650b7d-aa32-4798-af1a-fd8ef806d89f} - C:\Program Files\Local_Strike\prxtbLoc2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof1.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\ShellBrowser: (LocalStrike Toolbar) - {2C650B7D-AA32-4798-AF1A-FD8EF806D89F} - C:\Program Files\Local_Strike\prxtbLoc2.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (LocalStrike Toolbar) - {2C650B7D-AA32-4798-AF1A-FD8EF806D89F} - C:\Program Files\Local_Strike\prxtbLoc2.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (Softonic-Eng7 Toolbar) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - C:\Program Files\Softonic-Eng7\prxtbSof1.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\Szuster\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn) O8 - Extra context menu item: &Download All by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm File not found O8 - Extra context menu item: &Download by FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm File not found O8 - Extra context menu item: &Pobierz wszystko przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm File not found O8 - Extra context menu item: &Pobrane przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm File not found MsConfig - StartUpReg: ApnUpdater - hkey= - key= - C:\Program Files\Ask.com \Updater\Updater.exe (Ask) MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found [2012-03-03 23:36:47 | 000,000,000 | —D | C] – C:\Documents and Settings\Szuster\Menu Start\Programy\Antivirus Protection 2012 [2012-03-03 23:36:47 | 000,000,000 | —D | C] – C:\Documents and Settings\Szuster\Dane aplikacji\Antivirus Protection 2012 [2012-02-29 10:05:16 | 000,000,000 | —D | C] – C:\FOUND.017 [2012-03-16 15:01:02 | 000,000,238 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-03-16 14:43:04 | 000,001,036 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012-03-16 14:16:18 | 000,001,032 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012-03-04 10:13:25 | 000,256,000 | ---- | C] () – C:\WINDOWS\PEV.exe [2012-03-04 10:13:25 | 000,208,896 | ---- | C] () – C:\WINDOWS\MBR.exe [2012-03-04 10:13:25 | 000,098,816 | ---- | C] () – C:\WINDOWS\sed.exe [2012-03-04 10:13:25 | 000,080,412 | ---- | C] () – C:\WINDOWS\grep.exe [2012-03-04 10:13:25 | 000,068,096 | ---- | C] () – C:\WINDOWS\zip.exe :Files C:\Documents and Settings\Szuster\Menu Start\Programy\Antivirus Protection 2012 C:\Documents and Settings\Szuster\Dane aplikacji\Antivirus Protection 2012 C:\FOUND.* :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
krepsu
(Krepsu)
19 Marzec 2012 08:32
#3
Problemy Ciąg Dalszy
Bardzo dziękuję za szybką odpowiedź.
Już się witałem z gąską na myśl zlikwidowania wirusa. Tymczasem…
Nigdy nie korzystałem w programu OTL. Po wklejeniu i rozpoczęciu akcji w zasadzie nic się nie stało. Dysk twardy popracował kilka minut i nie widziałem już pracy diody. Zostawiłem uruchomiony program na całą noc i rano (około 12 godzin pracy komputera) dalej w dole okna OTL widniała informacja, że proces kiling trwa. Co charakterystyczne zatrzymał się zegar w komputerze, ale myszką można było dalej operować.
Dlaczego jest jak jest?
Uruchom ponowie komputer. Uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum
krepsu
(Krepsu)
19 Marzec 2012 09:37
#5
Dziękuję za wsparcie.
Tak to wygląda na dzisiaj:
http://wklej.to/SFoY1
Na początek taki skrypt do OTL później zajmiemy się śmieciami tzn toolbarami itp.
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
krepsu
(Krepsu)
20 Marzec 2012 11:34
#7
Meczyłem się wczoraj i dzisiaj. Odnoszę wrażenie graniczące z przekonaniem, że po uruchomieniu skryptu OTL się wiesza. Teraz czekałem półtorej godziny i nic się nie działo. Program Malwarebytes Anti-Malware raz miałem uruchomiony a raz nie i w sumie to samo przy działaniu OTL. Jest jakaś szansa zawalczyć?
Proszę wykonaj ten skrypt w trybie awaryjnym windows. Tylko nie czekaj dwa dni jak będzie problem to pisz.
krepsu
(Krepsu)
20 Marzec 2012 19:26
#9
Hura!
W trybie awaryjnym OTL zadziałał i wystarczyło parę minut.
Poniżej efekt pracy:
http://wklej.to/rVgP2
A tutaj postanowiłem zrobić scan i tak to wygląda.
http://wklej.to/5OWOa
Przepraszam za to czasowe rozmycie. Ostatnie pięć godzin poświęciłem na scanowanie programem, który chyba ktoś tutaj polecił… sam juz nie wiem, bo postu nie widać.
Tak ja usunąłem tego posta. Antywirusem bardzo rzadko usuniemy całą infekcje już na pewno nie naprawimy ewentualnych szkód które poczyniła. Gdyby tak było to narzędzie typu OTL byłoby zbędne. Pewna kolejność musi być zachowana. Pomijam sytuacje wyjątkowe.
Przez Panel Sterownia - dodaj usuń programy - znajdź i odinstaluj
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) [2012-03-04 10:13:25 | 000,518,144 | ---- | C] (SteelWerX) – C:\WINDOWS\SWREG.exe [2012-03-04 10:13:25 | 000,406,528 | ---- | C] (SteelWerX) – C:\WINDOWS\SWSC.exe [2012-03-04 10:13:25 | 000,212,480 | ---- | C] (SteelWerX) – C:\WINDOWS\SWXCACLS.exe [2012-03-04 10:13:25 | 000,060,416 | ---- | C] (NirSoft) – C:\WINDOWS\NIRCMD.exe [2012-03-04 10:13:25 | 000,256,000 | ---- | C] () – C:\WINDOWS\PEV.exe [2012-03-04 10:13:25 | 000,208,896 | ---- | C] () – C:\WINDOWS\MBR.exe [2012-03-04 10:13:25 | 000,098,816 | ---- | C] () – C:\WINDOWS\sed.exe [2012-03-04 10:13:25 | 000,080,412 | ---- | C] () – C:\WINDOWS\grep.exe [2012-03-04 10:13:25 | 000,068,096 | ---- | C] () – C:\WINDOWS\zip.exe :Files C:\CCE_Quarantine C:\Documents and Settings\Szuster\Dane aplikacji\PriceGong C:\Documents and Settings\Szuster\Menu Start\Programy\Antivirus Protection 2012 C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptytemp] [emptyflash]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
krepsu
(Krepsu)
21 Marzec 2012 10:39
#11
Zrobione
OTL musiałem uruchomić w awaryjnym.
http://wklej.to/TIptX
I tak to wygląda po skanowaniu
http://wklej.to/NVhia
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idd/idd_1328007260_978794 IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.internetscout.biz/google/?q={searchTerms} IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=FE69C7C1-D4DD-4577-A076-EEC803A574FD&apn_sauid=AAB82424-2D97-4BFF-9A0F-66DC47E06A1B& IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\SearchScopes{7E393A76-B290-4911-9C41-B78C9344EC21}: “URL” = http://www.internetscout.biz/google/?q={searchTerms} IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\SearchScopes{8C85DACD-3AB6-4C46-BB4B-75BBCFAF69C8}: “URL” = http://www.internetscout.biz/google/?q={searchTerms} IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2258996 [2012-03-06 18:06:06 | 000,000,000 | —D | M] (Softonic-Eng7 Community Toolbar) – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\extensions{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-04-25 19:58:10 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\extensions\engine@conduit.com [2009-12-13 22:57:08 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\searchplugins\startsear.xml [2011-08-23 21:16:36 | 000,002,333 | ---- | M] () – C:\Documents and Settings\Szuster\Dane aplikacji\Mozilla\Firefox\Profiles\r4fom3hx.default\searchplugins\askcom.xml [2010-07-25 11:01:18 | 000,002,226 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-31 11:54:22 | 000,002,415 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\ShellBrowser: (no name) - {2C650B7D-AA32-4798-AF1A-FD8EF806D89F} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1563985344-839522115-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll File not found :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną
Masz na dysku Malwarebytes wykonaj pełny skan, jak program coś wykryje pokaż raport na forum. Jak Malwarebytes nic nie wykryje
użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515 ](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
krepsu
(Krepsu)
21 Marzec 2012 17:06
#15
No Kurde
Wielkie wielkie dzięki, bez Ciebie bym sobie nie poradził.