speva
(Psleboda)
27 Lipiec 2012 07:10
#1
Cześć,
Mnie również dotknął problem z live security plat. Po usunięciu tego cudaka z komputera w trybie awaryjnym po załadowaniu systemu uruchamia się rejestr (powodem na pewno są jakieś niezgodności) oraz nie działają mi porty usb i inne zewn gniazda. Jestem kompletnym laikiem i nie wiem jak sobie z tym poradzić.
Poniżej skan z OTL
OTL - http://www.wklej.org/id/798572/
Extras - http://www.wklej.org/id/798573/
Atis
(Atis)
27 Lipiec 2012 11:23
#2
Użyj ESET Necurs Remover:
http://www.eset.eu/encyclopaedia/win32- … der?lng=en
Jeżeli coś usunie to utwórz nowy log z OTL.
speva
(Psleboda)
29 Lipiec 2012 15:23
#3
Dziękuję, ESET Necurs Remover pomógł.
Temat zamknięty.
Atis
(Atis)
29 Lipiec 2012 15:27
#4
Oprócz trojana Necurs w logu jest widoczna inna infekcja i narzędzie ESET tego nie skasowało.
Pokaż nowy log z OTL.
speva
(Psleboda)
29 Lipiec 2012 17:12
#5
Po wykonaniu loga problem pojawił się ponownie. Powtórzyłem operację z ESET i ponownie pomogło. Poniżej log z OTL z przed operacji ESET.
http://www.wklej.org/id/800039/
Atis
(Atis)
29 Lipiec 2012 17:26
#6
Odinstaluj:
IncrediMail MediaBar 4 Toolbar
Akamai NetSession Interface
SFT_Polska Toolbar
McAfee Security Scan Plus
Conduit Engine
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O4:64bit: - HKLM…\Run: [] File not found O4 - HKLM…\Run: [softonic] C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () O4 - HKCU…\Run: [{F04E8E62-23BE-AD40-5951-FCE3459ADFFE}] C:\Users\Piotr\AppData\Roaming\Nakai\giad.exe () O4 - HKCU…\Run: [czu1sgadva] C:\Users\Piotr\czu1sgadva.exe () O4 - HKCU…\Run: [MediaGet2] C:\Users\Piotr\AppData\Local\MediaGet2\mediaget.exe (MediaGet LLC) O4 - HKCU…\Run: [rtx6gcsh1u] C:\Users\Piotr\rtx6gcsh1u.exe () O4 - HKCU…\Run: [softonic] C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe) - C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () F3 - HKCU WinNT: Load - (C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe) - C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () F3:64bit: - HKCU WinNT: Run - (C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe) - C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () F3 - HKCU WinNT: Run - (C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe) - C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Softonic = C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Softonic = C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () O20 - HKCU Winlogon: Shell - (C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe) - C:\Users\Piotr\AppData\Roaming\Softonic\Softonic.exe () [2012-07-29 17:11:24 | 000,084,928 | ---- | M] () – C:\Windows\SysNative\drivers\def1fb173952d15e.sys [2012-07-22 06:49:05 | 000,084,928 | ---- | M] () – C:\Windows\SysNative\drivers\3ad76a35e0e4d11.sys.vir [2011-05-10 09:55:41 | 000,000,000 | ---- | C] () – C:\Users\Piotr\AppData\Roaming\wklnhst.dat :Files C:\Users\Piotr*.exe C:\Users\Piotr\AppData\Roaming\Softonic C:\Users\Piotr\AppData\Roaming\Nakai :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
speva
(Psleboda)
29 Lipiec 2012 17:59
#7
OTL http://www.wklej.org/id/800064/
raport przez przypadek zamknąłem/
Atis
(Atis)
29 Lipiec 2012 18:17
#8
Wklej i kliknij Wykonaj skrypt:
:OTL IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.babylon.com/home?af=18776 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/mb59?u=92541537614972663 IE - HKCU…\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found IE - HKCU…\URLSearchHook: {90eee664-34b1-422a-a782-779af65cdf6d} - No CLSID value found IE - HKCU…\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18776 IE - HKCU…\SearchScopes{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: “URL” = http://www.astroburn-search.com/search/web?q={searchTerms} IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKCU…\SearchScopes{CBB877FA-F81B-4CA2-9B89-6F956D300ABD}: “URL” = http://slirsredirect.search.aol.com/sli … 602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl IE - HKCU…\SearchScopes{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: “URL” = http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92541537614972663 [2012-07-17 09:41:06 | 000,000,000 | —D | M] (SFT_Polska Community Toolbar) – C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\32pjru0c.default\extensions{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-07-17 09:41:07 | 000,000,000 | —D | M] (IncrediMail MediaBar 4 Community Toolbar) – C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\32pjru0c.default\extensions{90eee664-34b1-422a-a782-779af65cdf6d} [2012-07-17 09:40:57 | 000,000,000 | —D | M] (ST-Polska Community Toolbar) – C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\32pjru0c.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-05-06 21:04:52 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\32pjru0c.default\extensions\engine@conduit.com [2012-01-02 21:01:59 | 000,000,000 | —D | M] (Babylon) – C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\32pjru0c.default\extensions\ffxtlbr@babylon.com [2011-07-29 09:52:43 | 000,002,071 | ---- | M] () – C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\32pjru0c.default\searchplugins\absearch-search.xml [2011-09-27 13:54:44 | 000,000,923 | ---- | M] () – C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\32pjru0c.default\searchplugins\conduit.xml [2011-09-19 22:17:27 | 000,002,207 | ---- | M] () – C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\32pjru0c.default\searchplugins\MyStart Search.xml [2011-05-24 21:11:41 | 000,002,226 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM…\Toolbar: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. O4 - HKCU…\Run: [Akamai NetSession Interface] “C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe” File not found [2012-07-29 17:11:24 | 000,084,928 | ---- | M] () – C:\Windows\SysNative\drivers\def1fb173952d15e.sys.vir :Files C:\ProgramData\0C1D17340053FCA6000017484F147CE7
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Kaspersky Virus Removal Tool 2011
speva
(Psleboda)
29 Lipiec 2012 18:53
#9
Atis
(Atis)
29 Lipiec 2012 19:27
#10
Ja nie prosiłem o raport z OTS.
W poprzednim logu nie widać aktywnej infekcji.
Kliknij Sprzątanie, aktualizuj oprogramowanie i przeskanuj dysk.
Przede wszystkim odinstaluj stare wersje programów:
Java 6 Update 14
Java 6 Update 29
Adobe Reader 9.2
Adobe Flash Player 10