Sunrider
(Sunridino)
21 Sierpień 2011 17:26
#1
Witam. Zostałem zaatakowany przez ten właśnie program/wirus. Widzę iż problem z nim jest dość popularny, dzieją się rzeczy, które widywałem w innych tematach (ciągłe komunikaty o wirusach, zablokowanie menadżera zadań, panelu sterowania itp. oraz restarty systemu). Przesyłam Logi z OTL. Proszę bardzo osoby, które się na tym znają o pomoc w pozbyciu się tego szkodnika. Z góry dziękuję!
OTL - http://wklej.to/hoJuF
Extras - http://wklej.to/tA81O
Leon1
(Leon$)
21 Sierpień 2011 20:32
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2011-08-21 19:02:14 | 000,781,383 | ---- | M] () – C:\Users\OEM\Desktop\RSIT.exe MOD - [2011-08-21 19:02:14 | 000,781,383 | ---- | M] () – C:\Users\OEM\Desktop\RSIT.exe IE - HKU\S-1-5-21-3338612627-2603618248-2569286274-1000…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) FF - HKLM\Software\MozillaPlugins@mywebsearch.com/Plugin: C:\Program Files\MyWebSearch\bar\1.bin\NPMyWebS.dll (MyWebSearch.com ) FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2011-02-13 13:33:56 | 000,000,000 | —D | M] [2011-02-13 13:33:56 | 000,000,000 | —D | M] (My Web Search) – C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) O3 - HKU\S-1-5-21-3338612627-2603618248-2569286274-1000…\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O4 - HKLM…\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKU\S-1-5-21-3338612627-2603618248-2569286274-1000…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKU\S-1-5-21-3338612627-2603618248-2569286274-1000…\RunOnce: [jF13602HoAmK13602] C:\ProgramData\jF13602HoAmK13602\jF13602HoAmK13602.exe () O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O33 - MountPoints2{daabbb73-ac74-11e0-a229-001a4d4f6c86}\Shell\AutoRun\command - “” = E:\autorun.exe O33 - MountPoints2{fba6a359-2ccc-11de-babd-001a4d4f6c86}\Shell\AutoRun\command - “” = E:\WebarooPortable\WebarooPortable.exe O33 - MountPoints2{fc5ac65e-3c31-11e0-bdfa-001a4d4f6c86}\Shell\Auto\command - “” = driveinfo.exe f O33 - MountPoints2{fc5ac65e-3c31-11e0-bdfa-001a4d4f6c86}\Shell\AutoRun\command - “” = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL driveinfo.exe f O33 - MountPoints2{fc5ac65e-3c31-11e0-bdfa-001a4d4f6c86}\Shell\open\Command - “” = driveinfo.exe f MsConfig - StartUpReg: IPLA! - hkey= - key= - File not found [2011-08-21 19:08:03 | 000,000,000 | —D | C] – C:\rsit [2011-08-21 18:12:06 | 000,000,000 | —D | C] – C:\ProgramData\jF13602HoAmK13602 [2011-08-21 19:02:14 | 000,781,383 | ---- | M] () – C:\Users\OEM\Desktop\RSIT.exe :Files C:\Program Files\MyWebSearch :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Sunrider
(Sunridino)
22 Sierpień 2011 14:41
#3
Log z usuwania:
http://wklej.to/KvGeT
OTL.txt:
http://wklej.to/uve1y
Tym razem nie wyświetliło mi logu Extras. Powinienem coś zmienić?
Leon1
(Leon$)
22 Sierpień 2011 14:53
#4
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
W OTL kilknij CleanUp (Sprzątanie)
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
Sunrider
(Sunridino)
22 Sierpień 2011 15:29
#5
Dziękuję bardzo za pomoc. Wszystko wróciło do normy.