lolek_asm
(Lukasz Ciukaj)
15 Wrzesień 2011 13:33
#1
Kilka dni temu mój komputer został zaatakowany przez niechciane oprogramowanie Personal Shield Pro. Próbowałem się go pozbyć własnymi sposobami, ale to nie pomaga. Zauważyłem, że w ostatnich dniach to oprogramowanie nasiliło swoje ataki patrząc na tytuły tematów, ale wydaje mi się, że każdy przypadek jest inny więc załączam swój raport OTL. Proszę o pomoc, gdyż chciałbym uniknąć formatowania ze względu na uszkodzony napęd…
pozdrawiam i z góry dziękuje za pomoc,
http://wklejto.pl/104945
kosti1
(kosti1)
15 Wrzesień 2011 14:10
#2
usuń ten plik C:\ProgramData\jK13602KjIpH13602\jK13602KjIpH13602.exe
jak sie będzie trzymał twardo to użyj unlockera
Leon1
(Leon$)
15 Wrzesień 2011 14:20
#3
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1999764972-1826661310-3833669829-1000…\Toolbar\WebBrowser: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-1999764972-1826661310-3833669829-1000…\RunOnce: [jK13602KjIpH13602] C:\ProgramData\jK13602KjIpH13602\jK13602KjIpH13602.exe () [2011-09-12 21:45:10 | 000,000,000 | —D | C] – C:\ProgramData\jK13602KjIpH13602 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
lolek_asm
(Lukasz Ciukaj)
15 Wrzesień 2011 14:39
#4
Dziękuje za pomoc
oto OTL z usuwania : http://www.wklejto.pl/104949
a to już OTL z kolejnego skanowania : http://wklejto.pl/104950
czy to oznacza, że pozbyłem się tego wirusa już ?
Leon1
(Leon$)
15 Wrzesień 2011 14:43
#5
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
lolek_asm
(Lukasz Ciukaj)
15 Wrzesień 2011 14:49
#6
raport z avenger.txt : http://wklejto.pl/104951
co dalej ?
Leon1
(Leon$)
15 Wrzesień 2011 14:52
#7
lolek_asm
(Lukasz Ciukaj)
15 Wrzesień 2011 15:15
#8
Mógłbyś wyjaśnić bardziej te dwie ostatnie pozycje ?
A mianowicie wyłączenie i włączenie przywracania systemu oraz DR.WEB Curelt…
Leon1
(Leon$)
15 Wrzesień 2011 15:22
#9
wyłączenie a potem załączenie przywracania systemu powoduje usunięcie punktów przywracania systemu a co za tym idzie usunięcie potencjalnych wirusów mogących znaleźć się w tych punktach
Dr.WEB CureIt! to bardzo prosty w użyciu, darmowy skaner antywirusowy leczący zainfekowane komputery z wirusów, spyware, adware oraz innego niechcianego kodu.
lolek_asm
(Lukasz Ciukaj)
16 Wrzesień 2011 11:08
#10
ok, dzięki wielkie
komputer wyleczony, działa jak należy ;D
pozdrawiam