jan_m11
(Mazochjanek)
5 Kwiecień 2012 16:48
#1
witam,
zainstalowałem sobie kaspersky’ego wersje trial na 30 dni i przeskanował mi dysk w poszukiwaniu wirusów, trojanów, etc. Wykrył następujący problem:
adware not-a-virus:HEUR:AdWare.Win32.EZula.gen
powyższego pliku nie da się usunąć przez Kaspa, a cały czas jest włączony komunikat że wykryto oprogramowanie, które może zostać użyte przez cyberprzestępców do uszkodzenia komputera
stworzone logi przy pomocy programu OTL znajdują się w poniższym linku:
http://www.wklejto.pl/121902
proszę o pomoc w zwalczeniu ch…ostwa
pozdrawiam
Acorus
(Acorus)
5 Kwiecień 2012 17:09
#3
Odinstaluj vShare Plugin,VShareToolBar,Browsers Protector.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-02-15 18:56:52 | 000,147,784 | ---- | M] () – C:\Program Files\Browsers Protector\regmon32.exe IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0449f61c- … 23cdb324cf IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=04 … db324cf&q={searchTerms} IE - HKLM…\SearchScopes{E1CFC1A7-FE63-4072-8F32-951F1BBBAFA9}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=04 … db324cf&q={searchTerms} IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0449f61c- … 23cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=108976&tt=290312_bexdll&babsrc=SP_ss&mntrId=cced93fc0000000000000023cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://supertoolbar.ask.com/redirect?cl … src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{DCB395D2-F2AE-4D6E-8226-EF633C7569A1}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{DFEEFE47-0609-4DA1-B1B7-3A01125AF9E7}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=108976&tt=290312_bexdll&babsrc=SP_ss&mntrId=cced93fc0000000000000023cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{E1CFC1A7-FE63-4072-8F32-951F1BBBAFA9}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=04 … db324cf&q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Search” FF - prefs.js…browser.search.selectedEngine: “Search” FF - prefs.js…browser.startup.homepage: “http://start.funmoods.com/?f=1&a=wbst ” [2012-02-29 11:09:28 | 000,000,000 | —D | M] (Funmoods.com ) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\extensions\ffxtlbr@funmoods.com [2010-08-28 16:03:36 | 000,000,000 | —D | M] (MakeItLive) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\extensions\mil@toolbar [2012-02-29 00:17:41 | 000,001,798 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\searchplugins\funmoods.xml [2012-03-30 19:32:59 | 000,000,792 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\searchplugins\startsear.xml O3 - HKLM…\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O4 - HKLM…\Run: [browsers Protector] C:\Program Files\Browsers Protector\regmon32.exe () O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU.DEFAULT…\RunOnce: [] File not found O4 - HKU.DEFAULT…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [] File not found O4 - HKU\S-1-5-18…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [] File not found O4 - HKU\S-1-5-20…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found NetSvcs: xoofy - File not found :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete.
Pokaż z niego log.
kulawy67x
(Kruszynka76)
5 Kwiecień 2012 18:27
#4
to toolbar czyli dodatek zainstalowany do przeglądarki
usuwa się przez panel sterowania aplet (coż za kretyńska nazwa) dodaj/usuń programy
jan_m11
(Mazochjanek)
5 Kwiecień 2012 22:25
#5
witam ponownie,
dałem chyba ciała z pierwszym skanem, bo nie zaznaczyłem użycia filtrowania w rejestrze. Wykonałem natomiast wszystkie polecenia użytkownika ‘Acorus’. Wymagane logi znajdują się poniżej:
http://www.wklejto.pl/121931
http://www.wklejto.pl/121932
http://www.wklejto.pl/121933
to chyba wszystko.
pozdro
Acorus
(Acorus)
6 Kwiecień 2012 09:08
#6
W OTL użyj opcji Sprzątanie.W AdwCleaner użyj opcji Uninstall.
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
jan_m11
(Mazochjanek)
6 Kwiecień 2012 09:30
#7
zrobiłem wszystko według Twoich poleceń, ale dalej widać ten komunikat z zagrożeniem. Jeszcze jedna sprawa. W momencie, gdy chce wejść do panelu sterowania wyskakuje okno
‘z plikiem tym nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu opcje folderów w panelu sterowania’
i czasem wyświetla panel sterowania, a czasem wyskakuje błąd.
Nie wiem czy to ma coś wspólnego, ale na wszelki wypadek pisze o tym.
Acorus
(Acorus)
6 Kwiecień 2012 13:33
#8
Pokaż jeszcze log extras.Aby powstał raport Extras.txt Opcja Rejestr skan dodatkowy musi być ustawiona na Użyj filtrowania
jan_m11
(Mazochjanek)
6 Kwiecień 2012 14:57
#9
Acorus
(Acorus)
6 Kwiecień 2012 15:17
#10
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL [2012-04-06 11:16:24 | 000,000,308 | ---- | M] () – C:\WINDOWS\tasks\GlaryInitialize.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “2928:TCP” =- :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW
jan_m11
(Mazochjanek)
6 Kwiecień 2012 23:22
#11
witam,
zrobiłem tak jak wyżej napisałeś. Malwarebytes wykrył 8 robaków, chyba. Usunąłem je, ale dalej jest komunikat o tym problemie.
Załączam log z malware’a:
http://www.wklejto.pl/121997
oraz wykonałem ponownie logi z OTL-a:
http://www.wklejto.pl/121999
http://www.wklejto.pl/122000
Acorus
(Acorus)
7 Kwiecień 2012 07:40
#12
jan_m11
(Mazochjanek)
7 Kwiecień 2012 16:11
#13
hmm, ściągnąłem plik na dysk, próbuje odpalić, niestety bez skutku. wyłączyłem następnie kaspersky’ego, ponownie uruchamiam program, żadnego efektu.
– Dodane 07.04.2012 (So) 22:51 –
ok ściągnąłem z innego źródła dr.web-a
znalazł coś, ale nie da się tego usunąć, jedynie utworzyłem raport:
http://www.wklejto.pl/122066