Batonsss
(Batonss)
2 Listopad 2009 15:08
#1
Witam.
Ostatnio przeglądałem procesy w menedżerze zadań i natrafiłem na wpis rlvknlg.exe. Wyczytałem gdzieś, że jest to jakiś niepożądany wpis, więc wklejam log i proszę o sprawdzenie.
HijackThis: http://www.wklej.org/id/193270/
OTL: http://www.wklej.org/id/193274/
deFco247
(deFco247)
2 Listopad 2009 15:39
#2
Masz Relevant Knowledge i jeszcze kilka innych śmieci.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE rlvknlg.exe :OTL MOD - [2009-09-18 15:44:56 | 00,389,760 | ---- | M] (TMRG, Inc.) – C:\Program Files\RelevantKnowledge\rlls.dll IE - HKU\S-1-5-21-1801674531-1757981266-2147254713-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.speedbit.com/ FF - HKLM\software\mozilla\Firefox\extensions\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge [2009-10-16 14:18:22 | 00,000,000 | —D | M] O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search) O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search) O3 - HKLM…\Toolbar: (&Save Flash) - {4064EA35-578D-4073-A834-C96D82CBCF40} - f:\Program Files\Save Flash\SaveFlash.dll (TODO: ) O3 - HKU\S-1-5-21-1801674531-1757981266-2147254713-1003…\Toolbar\WebBrowser: (&Save Flash) - {4064EA35-578D-4073-A834-C96D82CBCF40} - f:\Program Files\Save Flash\SaveFlash.dll (TODO: ) O33 - MountPoints2{0333712a-08f5-11de-b953-002215d95560}\Shell\AutoRun\command - “” = y82td3td.com O33 - MountPoints2{0333712a-08f5-11de-b953-002215d95560}\Shell\explore\Command - “” = y82td3td.com O33 - MountPoints2{0333712a-08f5-11de-b953-002215d95560}\Shell\open\Command - “” = y82td3td.com O33 - MountPoints2{2165e712-e709-11dd-b8e8-002215d95560}\Shell\AutoRun\command - “” = H:\j60osk9.cmd – File not found O33 - MountPoints2{2165e712-e709-11dd-b8e8-002215d95560}\Shell\open\Command - “” = H:\j60osk9.cmd – File not found O33 - MountPoints2{25136374-d027-11dd-b8ab-002215d95560}\Shell\AutoRun\command - “” = I:\RESTORE\k-1-3542-4232123213-7676767-8888886\MSGZ.exe – File not found O33 - MountPoints2{25136374-d027-11dd-b8ab-002215d95560}\Shell\open\command - “” = I:\RESTORE\k-1-3542-4232123213-7676767-8888886\MSGZ.exe – File not found :Files F:\Program Files\Relevant Knowledge F:\Program Files\AskBarDis F:\Program Files\MyGlobal Search F:\Program Files\Save Flash :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Batonsss
(Batonss)
2 Listopad 2009 16:24
#3
Oto log z usuwania: http://www.wklej.org/id/193363/
A ten robiony kilka/naście minut po usuwaniu: http://www.wklej.org/id/193357/
deFco247
(deFco247)
2 Listopad 2009 16:28
#4
Przez to, że masz dwa foldery Program Files na dwóch różnych partycjach, to się niestety pomyliłem.
W OTL wklej:
:Processes Explorer.EXE rlvknlg.exe :OTL MOD - [2009-09-18 15:44:56 | 00,389,760 | ---- | M] (TMRG, Inc.) – C:\Program Files\RelevantKnowledge\rlls.dll :Files C:\Program Files\RelevantKnowledge :Commands [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Batonsss
(Batonss)
2 Listopad 2009 16:35
#5
deFco247
(deFco247)
2 Listopad 2009 16:37
#6
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Batonsss
(Batonss)
2 Listopad 2009 16:44
#7
Zrobiłem wszystko tak jak napisałeś i otrzymałem coś takiego:
http://wklej.org/id/193376/
PS. Ja się na tym nie znam i nie wiem, czy to jest istotne, ale ten folder “RelevantKnowledge” pisany jest w ten sposób, tzn. razem, a nie osobno “Relevant Knowledge” i może stąd ten fragment loga :
Oczywiście to może być nieistotne, ale sumiene nakazało mi to napisać
deFco247
(deFco247)
2 Listopad 2009 16:56
#8
Ostatnio jestem taki zszargany, że wszystko mi się myli.
Zmień ten tekst i wykonaj ponownie skrypt.
asterisk
(Asterisk)
2 Listopad 2009 16:58
#9
Proszę zastosować się do tego Tematu i edytować własnego posta
w celu zmiany jego tytułu na konkretny.
W przeciwnym razie topic wyląduje w Śmietniku.
Batonsss
(Batonss)
2 Listopad 2009 17:08
#10
Tak gwoli ścisłości to wklejam ten raport z usuwania po zmienieniu wpisu:
http://wklej.org/id/193397/
Czy już teraz wszystko jest w porządku?
Bardzo dziękuję za pomoc
deFco247
(deFco247)
2 Listopad 2009 17:12
#11
Usunięte.
Uruchom OTL i kliknij w nim CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Batonsss
(Batonss)
2 Listopad 2009 21:11
#12
W OTL wybrałem już CleanUp.
Wykonałem pełny skan tym Malwarebytes’ Anti-Malware i wykryło kilkanaście błędów/wirusów:
http://wklej.org/id/193537/
Wyczyściłem rejestr i dysk przy pomocy CCleaner’a, więc mam nadzieję, że teraz już wszystko z moją maszynką będzie dobrze.
Jeszcze raz wielkie dzięki za pomoc