Personal shield pro blokuje dostęp do wszystkich plików

garfield_pw · 3 Wrzesień 2011 19:04

Witam forumowiczów

Proszę o pomoc w “wycięciu” szkodnika Personal shield pro.

Wykonałem logi w OTL i GMER w systemie awaryjnym (inaczej nie mogłem odpalić programów).

OTL

http://wklej.org/id/589217/

EXTRAS

http://wklej.org/id/589220/

GMER

http://wklej.org/id/589221/

Dodatkowo przy skanowaniu GMER “wyskoczył” komunikat: Gmer odnalazł modyfikacje wskazujące na obecność ROOTKIT’A

Bardzo Proszę o pomoc forumowiczów i wskazówki jak postępować dalej,aby pozbyć się tego programu…

raphael22 · 3 Wrzesień 2011 20:19

W OTL wklej to i wykonaj skrypt:

:OTL

PRC - [2011-09-03 18:51:47 | 000,657,920 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Temp\conhost.exe

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4

IE - HKU\S-1-5-21-2052111302-507921405-1343024091-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

IE - HKU\S-1-5-21-2052111302-507921405-1343024091-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

IE - HKU\S-1-5-21-2052111302-507921405-1343024091-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google

IE - HKU\S-1-5-21-2052111302-507921405-1343024091-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

FF - prefs.js…browser.search.defaultenginename: “Facemoods Search”

FF - prefs.js…browser.search.selectedEngine: “Facemoods Search”

FF - prefs.js…browser.startup.homepage: “http://start.facemoods.com/?a=ironto”

FF - prefs.js…extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - prefs.js…extensions.enabledItems: jqs@sun.com:1.0

O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - File not found

O3 - HKLM…\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found

O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found

O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found

O3 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found

O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [amva] File not found

O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [Cognac] File not found

O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [CS Update] File not found

O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [MSFox] File not found

O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\RunOnce: [mH15001AhFpF15001] C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001\mH15001AhFpF15001.exe ()

F3 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003 WinNT: Load - (C:\YDPDict\watch.exe) - C:\YDPDICT\WATCH.EXE ()

O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O21 - SSODL: UpdateCheck - {108815C8-6F59-4B69-BECD-F9860B9B3533} - File not found

O33 - MountPoints2{107c29e2-2b05-11dd-ad2b-101111111111}\Shell\AutoRun\command - “” = H:\

O33 - MountPoints2{107c29e2-2b05-11dd-ad2b-101111111111}\Shell\open\Command - “” = rundll32.exe .\desktop.dll,InstallM

O33 - MountPoints2{2c0d65e0-dddd-11de-b0fc-e0e7147c549f}\Shell - “” = AutoRun

O33 - MountPoints2{2c0d65e0-dddd-11de-b0fc-e0e7147c549f}\Shell\AutoRun\command - “” = G:\AutoRun.exe

O33 - MountPoints2{2c0d65e5-dddd-11de-b0fc-e0e7147c549f}\Shell - “” = AutoRun

O33 - MountPoints2{2c0d65e5-dddd-11de-b0fc-e0e7147c549f}\Shell\AutoRun\command - “” = G:\AutoRun.exe

O33 - MountPoints2{665aa3f0-dbf3-11dc-ac11-101111111111}\Shell\AutoRun\command - “” = H:\

O33 - MountPoints2{665aa3f0-dbf3-11dc-ac11-101111111111}\Shell\open\Command - “” = rundll32.exe .\desktop.dll,InstallM

O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\AutoRun\command - “” = xyw9tmdj.com

O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\explore\Command - “” = xyw9tmdj.com

O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\open\Command - “” = xyw9tmdj.com

O33 - MountPoints2{9d7d8ee0-f241-11de-b114-00e127000168}\Shell - “” = AutoRun

O33 - MountPoints2{9d7d8ee0-f241-11de-b114-00e127000168}\Shell\AutoRun\command - “” = G:\AutoRun.exe

O33 - MountPoints2{9d7d8ee1-f241-11de-b114-00e127000168}\Shell - “” = AutoRun

O33 - MountPoints2{9d7d8ee1-f241-11de-b114-00e127000168}\Shell\AutoRun\command - “” = G:\AutoRun.exe

O33 - MountPoints2{b161ef70-e7de-11dc-ac3f-101111111111}\Shell\AutoRun\command - “” = H:\

O33 - MountPoints2{b161ef70-e7de-11dc-ac3f-101111111111}\Shell\open\Command - “” = rundll32.exe .\desktop.dll,InstallM

O33 - MountPoints2{e7b7abb0-132e-11db-a634-f02ffa9a92e8}\Shell\AutoRun\command - “” = H:\

O33 - MountPoints2{e7b7abb0-132e-11db-a634-f02ffa9a92e8}\Shell\open\Command - “” = rundll32.exe .\desktop.dll,InstallM

O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\AutoRun\command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\explore\Command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\open\Command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\AutoRun\command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\explore\Command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\open\Command - “” = H:\xyw9tmdj.com

O33 - MountPoints2{f34bf410-7c8c-11db-a758-fa3624c1a19c}\Shell\AutoRun\command - “” = H:\

O33 - MountPoints2{f34bf410-7c8c-11db-a758-fa3624c1a19c}\Shell\open\Command - “” = rundll32.exe .\desktop.dll,InstallM

[2011-09-01 16:53:52 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001

[2011-09-03 18:19:02 | 000,302,592 | ---- | M] () – C:\Documents and Settings\Przemas\Pulpit\w398yuuz.exe

[2011-09-01 22:55:13 | 000,302,592 | ---- | C] () – C:\Documents and Settings\Przemas\Pulpit\3fhlece7.exe

[2011-09-01 16:53:57 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001

[2011-05-16 20:39:46 | 000,000,000 | —D | M] – C:\Documents and Settings\Przemas\Dane aplikacji\facemoods.com

:Commands

[EMPTYTEMP]

[REBOOT]

– Dodane 03.09.2011 (So) 22:23 –

Wklej logi na forum po wykonaniu skryptu.

Przeskanuj system malwarebytes.

jessica · 3 Wrzesień 2011 20:24

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MOD - [2011-09-03 18:46:33 | 000,026,624 | ---- | M] () – C:\WINDOWS\system32\dll.dll O3 - HKLM…\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found O3 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [amva] File not found O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [Cognac] File not found O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [CS Update] File not found O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\Run: [MSFox] File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\AutoRun\command - “” = xyw9tmdj.com O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\explore\Command - “” = xyw9tmdj.com O33 - MountPoints2{7c441f63-737d-11dc-aa83-d31850b9de68}\Shell\open\Command - “” = xyw9tmdj.com O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\AutoRun\command - “” = H:\xyw9tmdj.com O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\explore\Command - “” = H:\xyw9tmdj.com O33 - MountPoints2{ecae4f50-b94c-11dc-ab9f-101111111111}\Shell\open\Command - “” = H:\xyw9tmdj.com O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\AutoRun\command - “” = H:\xyw9tmdj.com O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\explore\Command - “” = H:\xyw9tmdj.com O33 - MountPoints2{ee436c70-c8e3-11db-a822-e9fdabbe9486}\Shell\open\Command - “” = H:\xyw9tmdj.com 2011-09-01 16:53:52 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001 O4 - HKU\S-1-5-21-2052111302-507921405-1343024091-1003…\RunOnce: [mH15001AhFpF15001] C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001\mH15001AhFpF15001.exe () :Files C:\WINDOWS\Temp\conhost.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Sprawdź, czy nie ma tego folderu, jeśli jest dalej, to spróbuj go usunąć ręcznie.

Użyj USBFix, >USBFix

Kliknij w nim na:DELETION.

Daj raport z tego usuwania.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

EDIT:

Jeśli zdecydujesz się na wykonanie Scriptu podanego przez mojego poprzednika, @raphael22, to z Jego Scriptu usuń tę linijkę:

Tego nie powinno się usuwać!

To chyba Twoje narzędzia? Jeśli tak, to też nie powinny być usuwane.

Jest też kilka innych linijek, które raczej nie powinny być usuwane,choć ich usunięcie nie powinno spowodować większych problemów.

garfield_pw · 3 Wrzesień 2011 22:39

Jessica skorzystałem z Twojego Skriptu. Po wykonaniu scriptu w OTL w zasadzie problem zniknął gdyż uruchomiłem system już nie w trybie awaryjnym i Personal Shield Pro się nie pojawił. Wklejam log z raportu po restarcie systemu:

http://wklej.org/id/589298/

Następnie usunąłem: C:\Documents and Settings\All Users\Dane aplikacji\mH15001AhFpF15001 - był w folderach ukrytych, normalnie widoczny nie był
Kolejnym krokiem był USBFix i funkcja deletion. Oto raport z tego usuwania: http://wklej.org/id/589300/
Ostatni ruch to wykonanie skanu w OTL i oto raport: http://wklej.org/id/589301/

Czy powinienem jeszcze wykonać jakieś czynności ?

jessica · 3 Wrzesień 2011 22:52

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi