konzor
(Gomisiek103)
19 Sierpień 2011 18:09
#1
Mam problem bynajmniej ostatnio ktoś na moim komputerze zainstalował personal shield pro. Chciałem go usunąć i przez przypadek ten program usunął pliki, które były niby wirusami( w tym coś z systemu). Wyczytałem w pewnym temacie, że można go usunąć, lecz potrzebny jest OTL. Ściągnąłem go. I tutaj jest sedno nie potrafię nic w nim zrobić. Nie mogę na nic kliknąć. Proszę o pomoc.
Leon1
(Leon$)
19 Sierpień 2011 18:57
#2
konzor
(Gomisiek103)
19 Sierpień 2011 19:05
#3
Dalej nie potrafię. Nie mam żadnych przycisków w nim.
Leon1
(Leon$)
19 Sierpień 2011 19:17
#4
Leon1
(Leon$)
19 Sierpień 2011 21:03
#6
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń
Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log
pobierz na nowo OTL i spróbuj uruchomić
konzor
(Gomisiek103)
20 Sierpień 2011 09:04
#7
Dobrze OTL działa oto logi .
Z avengera
Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File “C:\WINDOWS\Wincft.exe” deleted successfully. Error: file “C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\extrem.sys” not found! Deletion of file “C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\extrem.sys” failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File “C:\WINDOWS\system32\qprodsvc.dll” deleted successfully. Driver “catchme” disabled successfully. Error: could not open driver “extrem” Disablement of driver “extrem” failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver “catchme” deleted successfully. Error: registry key “\Registry\Machine\System\CurrentControlSet\Services\extrem” not found! Deletion of driver “extrem” failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|WinDefender” deleted successfully. Completed script processing. ******************* Finished! Terminate.
z malware
Malwarebytes’ Anti-Malware 1.51.1.1800 http://www.malwarebytes.org Wersja bazy: 7515 Windows 5.1.2600 Dodatek Service Pack 2 Internet Explorer 8.0.6001.18702 2011-08-20 10:59:43 mbam-log-2011-08-20 (10-59-39).txt Typ skanowania: Pełne skanowanie (C:|D:|E:|) Przeskanowano obiektów: 411636 Upłynęło: 1 godzin(y), 49 minut(y), 35 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 1 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 3 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 27 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: c:\WINDOWS\MVENCD.dll (Trojan.Hiloti) -> No action taken. Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Htijininozuma (Trojan.Hiloti) -> Value: Htijininozuma -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser{37B85A29-692B-4205-9CAD-2626E4993404} (Adware.MyWebSearch) -> Value: {37B85A29-692B-4205-9CAD-2626E4993404} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser{37B85A29-692B-4205-9CAD-2626E4993404} (Adware.MyWebSearch) -> Value: {37B85A29-692B-4205-9CAD-2626E4993404} -> No action taken. Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\WINDOWS\MVENCD.dll (Trojan.Hiloti) -> No action taken. c:\program files\windows defender\setup\alkare.fok (Trojan.Agent) -> No action taken. c:\program files\windows defender\setup\windows serfince.exe (Trojan.Agent) -> No action taken. c:\Qoobox\quarantine\C\program files\mozilla firefox\plugins\npmyglsh.dll.vir (Adware.MyWebSearch) -> No action taken. c:\Qoobox\quarantine\C\program files\myglobalsearch\bar\1.bin\m9plugin.dll.vir (Adware.MyWebSearch) -> No action taken. c:\Qoobox\quarantine\C\program files\myglobalsearch\bar\1.bin\mgsbar.dll.vir (Adware.MyWebSearch) -> No action taken. c:\Qoobox\quarantine\C\program files\myglobalsearch\bar\1.bin\npmyglsh.dll.vir (Adware.MyWebSearch) -> No action taken. c:\system volume information_restore{c676a2c6-984c-472d-a17b-616336c3fabc}\RP518\A0259336.exe (Trojan.Agent) -> No action taken. c:\system volume information_restore{c676a2c6-984c-472d-a17b-616336c3fabc}\RP518\A0259338.exe (Trojan.AVKiller) -> No action taken. c:\documents and settings\all users\dane aplikacji\ge06201mhejd06201\ge06201mhejd06201.exe (Trojan.FakeAlert) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc4724156.txt (Trojan.FakeAlert) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\7A.tmp (Trojan.FakeAlert) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\7C.tmp (Trojan.FakeAlert) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\RarSFX0\Msvcrt.dll (Malware.Packer.Gen) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\RarSFX0\Shfolder.dll (Trojan.Agent) -> No action taken. d:\system volume information_restore{c676a2c6-984c-472d-a17b-616336c3fabc}\RP518\A0255918.exe (Adware.BHO) -> No action taken. d:\elipsemt2\elipsemt2&nexusmt2.exe (Trojan.Downloader) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\0.49305011947852173.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\właściciel\ustawienia lokalne\temp\0.5459330846918613.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\właściciel\stsf.bat (Malware.Trace) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\shed\thr1.chm (Malware.Trace) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc14.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc149.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc31.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc4737328.txt (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc4745250.txt (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\właściciel\dane aplikacji\Adobe\plugs\mmc87.exe (Trojan.Agent.Gen) -> No action taken.
Muszę coś jeszcze robić żeby usunąć personal shield pro ??
Leon1
(Leon$)
20 Sierpień 2011 11:25
#8
Malwarebytes’ Anti-Malware - jak coś znajdzie to usuń zaznaczone
konzor:
Dobrze OTL działa
OTLrobiony opcją Run Scan ( Skanuj ) - przeskanuj daj log OTL.txt oraz Extras.txt.
logi wklej na http://www.wklej.org/
według zasad zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html
konzor
(Gomisiek103)
20 Sierpień 2011 15:10
#9
Leon1
(Leon$)
20 Sierpień 2011 17:53
#10
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi … t=&gc=1&q= IE - HKCU…\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found IE - HKCU…\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2304157&SearchSource=3&q={searchTerms} ” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found [2010-11-23 16:52:36 | 000,000,000 | —D | M] (“Ask Toolbar for Firefox”) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\qk52yggz.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} [2011-04-22 19:09:39 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\qk52yggz.default\extensions\DTToolbar@toolbarnet.com [2011-07-24 15:31:14 | 000,000,917 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\qk52yggz.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O24 - Desktop Components:0 () - file:///C:/DOCUME~1/WACICI~1/USTAWI~1/Temp/msohtmlclip1/01/clip_image002.jpg [2011-08-19 16:40:45 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\gE06201MhEjD06201 [2011-08-20 14:54:52 | 000,000,412 | -H-- | M] () – C:\WINDOWS\tasks\Norton Security Scan for Właściciel.job [2010-05-05 21:14:53 | 000,000,004 | RHS- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\sysqcl1129139270.dat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
konzor
(Gomisiek103)
21 Sierpień 2011 10:39
#11
Leon1
(Leon$)
21 Sierpień 2011 17:05
#12
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
W OTL kilknij CleanUp (Sprzątanie)
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
zainstaluj SP3
konzor
(Gomisiek103)
21 Sierpień 2011 18:32
#13
Wielkie dzięki za Twoją pomoc i za Twój czas poświęcony by mi pomóc.