Problem z My Security Shield

matimati123 · 20 Sierpień 2010 16:33

Witam wszystkich. Dzisiaj w południe korzystając z internetu wkradł mi się do systemu program My Security Shield . Z początku myślałem , że jest to zwykła reklama antywira , ale program dawał o sobie znawać , mówiąc o trojanach na kompie. Z tego co przeczytałem , jest to program , mający na celu wyłudzenie kasy od użytkownika poprzez wykupienie abonamentu na antywira. Próbowałem go usunąć standardowym sposobem ale panel sterowania go nie widział. Następnie skorzystałem z Revo Uninstaller ale również programu nie widział . Chciałem go usunąć ręcznie , ale w folderze nie było możliwości odinstalowania. Wszystkie osoby posiadające wiedzę jak usunąć tę aplikację , proszę o pomoc , bo bardzo przeszkadza mi ona z korzystania z komputera .

ybu · 20 Sierpień 2010 17:15

http://translate.google.pl/translate?hl … l%26sa%3DG

matimati123 · 20 Sierpień 2010 18:52

Wielkie dzięki ybu , ale przy punkcie osiemnastym nie mam w tym folderze etc pliku hosts tylko imhosts , a ten imhosts nie chce się zamienić z nowym hostsem

djkamil09061991 · 20 Sierpień 2010 19:15

daj log z OTL instrukcja otl-gmer-rsit-dds-inne-instrukcje-t370405.html

matimati123 · 20 Sierpień 2010 20:16

http://wklej.to/B8a6

deFco247 · 21 Sierpień 2010 13:26

Drugi log z OTL, czyli Extras.txt też wstaw.

matimati123 · 21 Sierpień 2010 14:31

http://wklej.to/aLLH

Prosze:)

deFco247 · 22 Sierpień 2010 10:25

No więc:

Nie widzisz tego pliku, gdyż ma on atrybuty ukryty + systemowy. Musiałbyś najpierw włączyć pokazywanie ukrytych plików systemowych w panelu sterowania.

Plik ten już jednak się podmieni za pomocą skryptu OTL.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL SRV - File not found [Disabled | Stopped] – C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe – (VideoAcceleratorService) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\System32\DRIVERS\EAPPkt.sys – (EAPPkt) DRV - File not found [Kernel | On_Demand | Stopped] – F:\PROGRAMY\MEDIACODER\SysInfo.sys – (CrystalSysInfo) :Reg {HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “F:\GRY\hl.exe”=- “F:\GRY\COUNTER\hl.exe”=- “C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe”=- “C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe”=- :Files C:\Documents and Settings\All Users\Dane aplikacji\MSZVHROS C:\Documents and Settings\All Users\Dane aplikacji\1c0b356 :Commands [emptytemp] [emptyflash] [resethosts]

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

matimati123 · 23 Sierpień 2010 12:52

@deFco247 wielkie dzięki za pomoc , ale kiedy chce wykonać skrypt i wklejam to co napisałeś , to pojawia się tylko : Processing Registry data {HKCU\Software\Microsoft\Windows NT\Current Version\Winlogon]…

i tak czekam pół godziny , i nic.

deFco247 · 23 Sierpień 2010 14:45

Wykonaj nowe logi z OTL.

matimati123 · 23 Sierpień 2010 15:10

http://wklej.to/acZb

deFco247 · 24 Sierpień 2010 10:12

Użyj tego skryptu do OTL:

:OTL :Reg {HKU\S-1-5-21-790525478-839522115-728608707-1004\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “F:\GRY\hl.exe”=- “F:\GRY\COUNTER\hl.exe”=- “C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe”=- “C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe”=- :Files C:\Documents and Settings\All Users\Dane aplikacji\MSZVHROS C:\Documents and Settings\All Users\Dane aplikacji\1c0b356 :Commands [emptytemp] [emptyflash] [resethosts]

Uruchamiasz przez Wykonaj skrypt i pokazujesz raport z usuwania oraz nowe logi z OTL.

matimati123 · 24 Sierpień 2010 17:51

Kiedy próbuje zrobić to , co piszesz to po naciśnięciu w OTL wykonaj skrypt mam na dole napisane Processing Registry data i nic. Stoi w miejscu i tak pół godziny

deFco247 · 25 Sierpień 2010 10:35

Nie wiem dlaczego tak się dzieje. W ostateczności można jednak wszystko pousuwać innym sposobem.

Otwórz Notatnik i wklej do niego:

Windows Registry Editor Version 5.00 {HKU\S-1-5-21-790525478-839522115-728608707-1004\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “F:\GRY\hl.exe”=- “F:\GRY\COUNTER\hl.exe”=- “C:\DOCUME~1\Mati123\USTAWI~1\Temp\394.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\351.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\511.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\643.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\187.exe”=- “C:\Documents and Settings\Mati123\Ustawienia lokalne\Temp\542.exe”=- “C:\Documents and Settings\All Users\Dane aplikacji\1c0b356\MS1c0b_284.exe”=-

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru.

W OTL wklej taki skrypt:

Uruchamiasz przez Wykonaj skrypt i pokazujesz raport z usuwania oraz nowe logi z OTL.

matimati123 · 25 Sierpień 2010 11:42

Raport z usuwania :http://wklej.to/hx79

– Dodane 25.08.2010 (Śr) 13:49 –

OTL:http://wklej.to/wcm6

Extras:http://wklej.to/pgOo

deFco247 · 25 Sierpień 2010 17:34

Przez brak spacji po dwukropkach linki są nieaktywne i trzeba zrobić trzy razy więcej czynności, by je otworzyć.

W logach nie widać niczego szkodliwego. Jest jedna chińska wartość w jednym z kluczy Shell oraz kilka reguł wyjątków firewalla systemowego po starych infekcjach.

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru.

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Zaktualizuj Internet Explorer do wersji ósmej, bez względu na to, czy go używasz czy nie.

matimati123 · 25 Sierpień 2010 18:26

użyłem w otl opcji sprzątanie , a teraz mam wyłączyć i włączyć opcje przywracania systemu , a następnie zainstalować explorera 8 tak?

deFco247 · 26 Sierpień 2010 17:38

Tak.