Problem z My Security Shield

matimati123 (Matimati95) 2010-08-20 16:33:19 UTC #1

Witam wszystkich. Dzisiaj w południe korzystając z internetu wkradł mi się do systemu program My Security Shield . Z początku myślałem , że jest to zwykła reklama antywira , ale program dawał o sobie znawać , mówiąc o trojanach na kompie. Z tego co przeczytałem , jest to program , mający na celu wyłudzenie kasy od użytkownika poprzez wykupienie abonamentu na antywira. Próbowałem go usunąć standardowym sposobem ale panel sterowania go nie widział. Następnie skorzystałem z Revo Uninstaller ale również programu nie widział . Chciałem go usunąć ręcznie , ale w folderze nie było możliwości odinstalowania. Wszystkie osoby posiadające wiedzę jak usunąć tę aplikację , proszę o pomoc , bo bardzo przeszkadza mi ona z korzystania z komputera .

ybu (ybu) 2010-08-20 17:15:16 UTC #2

http://translate.google.pl/translate?hl ... l%26sa%3DG

matimati123 (Matimati95) 2010-08-20 18:52:46 UTC #3

Wielkie dzięki ybu , ale przy punkcie osiemnastym nie mam w tym folderze etc pliku hosts tylko imhosts , a ten imhosts nie chce się zamienić z nowym hostsem

djkamil09061991 (djkamil09061991) 2010-08-20 19:15:24 UTC #4

daj log z OTL instrukcja otl-gmer-rsit-dds-inne-instrukcje-t370405.html

matimati123 (Matimati95) 2010-08-20 20:16:57 UTC #5

http://wklej.to/B8a6

deFco247 (deFco247) 2010-08-21 13:26:37 UTC #6

Drugi log z OTL, czyli Extras.txt też wstaw.

matimati123 (Matimati95) 2010-08-21 14:31:23 UTC #7

http://wklej.to/aLLH

Prosze:)

deFco247 (deFco247) 2010-08-22 10:25:52 UTC #8

No więc:

Nie widzisz tego pliku, gdyż ma on atrybuty ukryty + systemowy. Musiałbyś najpierw włączyć pokazywanie ukrytych plików systemowych w panelu sterowania.

Plik ten już jednak się podmieni za pomocą skryptu OTL.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL SRV - File not found [Disabled | Stopped] -- C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe -- (VideoAcceleratorService) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\DRIVERS\EAPPkt.sys -- (EAPPkt) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\PROGRAMY\MEDIACODER\SysInfo.sys -- (CrystalSysInfo) :Reg {HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "F:\GRY\hl.exe"=- "F:\GRY\COUNTER\hl.exe"=- "C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe"=- "C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe"=- :Files C:\Documents and Settings\All Users\Dane aplikacji\MSZVHROS C:\Documents and Settings\All Users\Dane aplikacji\1c0b356 :Commands [emptytemp] [emptyflash] [resethosts]

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

matimati123 (Matimati95) 2010-08-23 12:52:18 UTC #9

@deFco247 wielkie dzięki za pomoc , ale kiedy chce wykonać skrypt i wklejam to co napisałeś , to pojawia się tylko : Processing Registry data {HKCU\Software\Microsoft\Windows NT\Current Version\Winlogon]...

i tak czekam pół godziny , i nic.

deFco247 (deFco247) 2010-08-23 14:45:24 UTC #10

Wykonaj nowe logi z OTL.

matimati123 (Matimati95) 2010-08-23 15:10:51 UTC #11

http://wklej.to/acZb

deFco247 (deFco247) 2010-08-24 10:12:22 UTC #12

Użyj tego skryptu do OTL:

:OTL :Reg {HKU\S-1-5-21-790525478-839522115-728608707-1004\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "F:\GRY\hl.exe"=- "F:\GRY\COUNTER\hl.exe"=- "C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe"=- "C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe"=- :Files C:\Documents and Settings\All Users\Dane aplikacji\MSZVHROS C:\Documents and Settings\All Users\Dane aplikacji\1c0b356 :Commands [emptytemp] [emptyflash] [resethosts]

Uruchamiasz przez Wykonaj skrypt i pokazujesz raport z usuwania oraz nowe logi z OTL.

matimati123 (Matimati95) 2010-08-24 17:51:54 UTC #13

Kiedy próbuje zrobić to , co piszesz to po naciśnięciu w OTL wykonaj skrypt mam na dole napisane Processing Registry data i nic. Stoi w miejscu i tak pół godziny

deFco247 (deFco247) 2010-08-25 10:35:52 UTC #14

Nie wiem dlaczego tak się dzieje. W ostateczności można jednak wszystko pousuwać innym sposobem.

Otwórz Notatnik i wklej do niego:

Windows Registry Editor Version 5.00 {HKU\S-1-5-21-790525478-839522115-728608707-1004\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "F:\GRY\hl.exe"=- "F:\GRY\COUNTER\hl.exe"=- "C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe"=- "C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe"=- "C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe"=-

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru.

W OTL wklej taki skrypt:

Uruchamiasz przez Wykonaj skrypt i pokazujesz raport z usuwania oraz nowe logi z OTL.

matimati123 (Matimati95) 2010-08-25 11:42:54 UTC #15

Raport z usuwania :http://wklej.to/hx79

-- Dodane 25.08.2010 (Śr) 13:49 --

OTL:http://wklej.to/wcm6

Extras:http://wklej.to/pgOo

deFco247 (deFco247) 2010-08-25 17:34:13 UTC #16

Przez brak spacji po dwukropkach linki są nieaktywne i trzeba zrobić trzy razy więcej czynności, by je otworzyć.

W logach nie widać niczego szkodliwego. Jest jedna chińska wartość w jednym z kluczy Shell oraz kilka reguł wyjątków firewalla systemowego po starych infekcjach.

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru.

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Zaktualizuj Internet Explorer do wersji ósmej, bez względu na to, czy go używasz czy nie.

matimati123 (Matimati95) 2010-08-25 18:26:20 UTC #17

użyłem w otl opcji sprzątanie , a teraz mam wyłączyć i włączyć opcje przywracania systemu , a następnie zainstalować explorera 8 tak?

deFco247 (deFco247) 2010-08-26 17:38:06 UTC #18

Tak.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem