chavez
(chavez)
2 Sierpień 2012 21:55
#1
Witam.
Pojawił mi się pseudoantywirus - LSP. Proszę o sprawdzenie logów i podpowiedź co zrobić.
Windows XP uruchomiony a trybie awaryjnym.
OTL: http://wklej.org/id/802856/
Extras: http://wklej.org/id/802857/
Dziękuję.
Atis
(Atis)
3 Sierpień 2012 09:17
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\Senfilt.sys – (SenFiltService) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\AEAudio.sys – (AEAudio) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\ADIHdAud.sys – (ADIHdAudAddService) IE - HKU\S-1-5-21-1409082233-630328440-839522115-1004…\SearchScopes{CF739809-1C6C-47C0-85B9-569DBB141420}: “URL” = http://dl.ask.com/toolbarv/askRedirect.jsp?gct=&gc=1&q={searchTerms}&crm=1&toolbar=GLS O4 - HKU\S-1-5-21-1409082233-630328440-839522115-1004…\RunOnce: [6F63A5AB0062C46900087E8081CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95\6F63A5AB0062C46900087E8081CB3F95.exe () O37 - HKU\S-1-5-21-1409082233-630328440-839522115-1004…exe [@ = exefile] – Reg Error: Key error. File not found [2012-08-02 22:39:28 | 000,000,000 | —D | C] – C:\Documents and Settings\admin\Menu Start\Programy\Live Security Platinum [2012-08-02 22:39:28 | 000,002,248 | ---- | M] () – C:\Documents and Settings\admin\Pulpit\Live Security Platinum.lnk [2010-03-17 15:12:17 | 000,009,896 | -HS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\3yye [2010-03-17 15:12:17 | 000,009,896 | -HS- | C] () – C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\3yye :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS$NtUninstallKB7336$ /c C:\WINDOWS$NtUninstallKB7336$ C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95 :Reg [-HKEY_USERS\S-1-5-21-1409082233-630328440-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
chavez
(chavez)
3 Sierpień 2012 10:35
#3
Wcześniej już wykonałem swój skrypt:
:OTL O4 - HKU\S-1-5-21-1409082233-630328440-839522115-1004…\RunOnce: [6F63A5AB0062C46900087E8081CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95\6F63A5AB0062C46900087E8081CB3F95.exe () [2012-08-02 22:39:28 | 000,000,000 | —D | C] – C:\Documents and Settings\admin\Menu Start\Programy\Live Security Platinum [2012-08-02 22:39:27 | 000,002,248 | ---- | C] () – C:\Documents and Settings\admin\Pulpit\Live Security Platinum.lnk :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95 :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp]
i uzyskałem raport:
http://wklej.org/id/803045/
Następnie, teraz już, wykonałem Twój skrypt i kilka razy OTL się zawiesił na którejś linijce z DRV - File not found [Kernel | On_Demand | Stopped] więc wykonałem ponownie ten podany skrypt ale bez tych czterech linijek z File not found.
Raport z Twojego skryptu (bez czterech linijek z DRV - File not found): http://wklej.org/id/803050/
Log ze skanowania z dodatkowymi opcjami:
OTL: http://wklej.org/id/803053/
Extras: http://wklej.org/id/803055/
Atis
(Atis)
3 Sierpień 2012 11:03
#4
Wszystkie programy -> Akcesoria -> Wiersz polecenia
Wklej i zatwierdź enterem:
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
chavez
(chavez)
3 Sierpień 2012 11:30
#5
Obydwie komendy się wykonały.
Raport z usuwania: http://wklej.org/id/803081/
Kolejny log OTL: http://wklej.org/id/803094/
FSS: http://wklej.org/id/803099/
Dodam, że mam (wygląda na to że działający) Sunbelt Personal Firewall 4.
AVG Free 9. Nie ma ikony w trayu, ale chyba chodzi
Atis
(Atis)
3 Sierpień 2012 12:52
#6
Sprawdź czy w folderze nie ma pliku uninstall
C:\Program Files\Sunbelt Software
Ad-Aware też możesz odinstalować, bo to nie jest zbyt skuteczny program.
AVG najlepiej aktualizuj do najnowszej wersji.
W panelu sterowania odinstaluj:
JavaFX 2.1.0
Java 7 Update 4
Adobe Reader 9.5.1
Później zainstaluj:
Adobe Reader
Java
Napraw usługi uszkodzone przez trojana.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html