Problemy po Personal Shield Pro

aaizdam · 13 Sierpień 2011 15:45

Witam, wczoraj pojawił sie na moim komputerze niejaki wirus Personal Shield Pro, przeskanowałam więc komputer programem Malwarebytes, który usunął kilka znalezionych wirusów, jednak nie jestem pewna czy wszystko, bo od tego czasu komputer nie działa do końca prawidłowo, tzn. wszystkie programy uruchamiają sie dłużej niż zwykle, bardzo często się zawieszają, nawet na kilka minut i dodatkowo przy wyszukiwaniu w np. googlach po nacisnięciu linku przekierowuje mnie na zupełnie inną stronę, z reklamą…

Zamieszczam logi z OTL i proszę o sprawdzenie

OTL

Extras

jessica · 13 Sierpień 2011 16:33

Użyj USBFix, >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0

Kliknij w nim na:DELETION.

Daj raport z tego usuwania.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL IE - HKU\S-1-5-21-2275891866-3146018724-1029110471-1000…\URLSearchHook: - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.defaulturl: “http://www.bing.com/search?FORM=IEFM1&q=” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…keyword.URL: “http://search.icq.com/search/afe_results.php?ch_id=afex&q=” FF - HKLM\Software\MozillaPlugins@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins@divx.com/DivX Player Plugin,version=1.0.0: File not found FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.6\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.6\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKU\S-1-5-21-2275891866-3146018724-1029110471-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2275891866-3146018724-1029110471-1000…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKLM…\Run: [AdobeAAMUpdater-1.0] File not found O4 - HKLM…\Run: [ControlCenter3] File not found O4 - HKU\S-1-5-21-2275891866-3146018724-1029110471-1000…\Run: [ABBYY Screenshot Reader Bonus] File not found O4 - HKU.DEFAULT…\RunOnce: [] File not found O4 - HKU\S-1-5-18…\RunOnce: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [] File not found O4 - HKU\S-1-5-20…\RunOnce: [] File not found O33 - MountPoints2{08cfb043-edaa-11df-b1a4-002186c06547}\Shell\AutoRun\command - “” = dqm.exe O33 - MountPoints2{08cfb043-edaa-11df-b1a4-002186c06547}\Shell\open\Command - “” = dqm.exe O33 - MountPoints2{2b758abd-88df-11df-891d-002186c06547}\Shell\AutoRun\command - “” = H:\wyskq6lt.exe O33 - MountPoints2{2b758abd-88df-11df-891d-002186c06547}\Shell\open\Command - “” = H:\wyskq6lt.exe O33 - MountPoints2{2d458f05-f865-11de-985c-002186c06547}\Shell\AUtoplay\cOMMand - “” = khcwd.pif O33 - MountPoints2{2d458f05-f865-11de-985c-002186c06547}\Shell\AutoRun\command - “” = khcwd.pif O33 - MountPoints2{2d458f05-f865-11de-985c-002186c06547}\Shell\exPLORe\COMmand - “” = khcwd.pif O33 - MountPoints2{2d458f05-f865-11de-985c-002186c06547}\Shell\opEN\cOmmAnd - “” = khcwd.pif O33 - MountPoints2{448834f9-67f1-11df-8fef-002186c06547}\Shell\AutoRun\command - “” = wyskq6lt.exe O33 - MountPoints2{448834f9-67f1-11df-8fef-002186c06547}\Shell\open\Command - “” = wyskq6lt.exe O33 - MountPoints2{63af337f-2c02-11de-920f-002186c06547}\Shell\AutoRun\command - “” = m0vnonh.bat O33 - MountPoints2{63af337f-2c02-11de-920f-002186c06547}\Shell\open\Command - “” = m0vnonh.bat O33 - MountPoints2{9dccda70-30c5-11de-b98e-002186c06547}\Shell\AutoRun\command - “” = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\copy.exe O36 - AppCertDlls: ASTSdlin - (C:\Windows\system32\msinelog.dll) - C:\Windows\System32\msinelog.dll () [2011-08-12 01:17:13 | 000,000,000 | —D | C] – C:\ProgramData\jB13602OcIpD13602 [2011-08-12 01:17:37 | 000,049,664 | -H-- | C] () – C:\Windows\System32\msinelog.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

aaizdam · 13 Sierpień 2011 18:49

Nie wiem czy to normalne, ale po wykonaniu tej operacji programem USBFix wszystko jakby się pogorszyło, firefox włączal sie jakies 3 min, a strona ładowała kolejne 5min.

Raport http://wklej.to/eTLd0

Później po wykonaniu skryptu OTL i zatwierdzeniu restartu komputer się nie wyłączył, tzn. jakieś 35min [sic!] było: Trwa zamykanie… więc wyłączyłam go sama i włączyłam od nowa.

raport z usuwania http://wklej.to/12u3X

OTL http://wklej.to/x6wl5

Problem z przekierowywaniem stron wydaje się, że zniknął, jednak nadal dlugo się ładują.

jessica · 13 Sierpień 2011 19:27

USBFix nigdy nie powoduje takich skutków, więc pogorszenie na pewno nie spowodował USBFix.

W nowyj logu OTL nie ma już niczego podejrzanego.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - File not found O9 - Extra ‘Tools’ menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_16) :Commands [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Pokaż raport, który pokaże się po restarcie.

Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)

Starą wersję odinstaluj.

Na to nic nie poradzę - nie interesują mnie połączenia internetowe.

Możemy co najwyżej sprawdzić, czy nie masz Rootkita:

Daj log z GMER
Daj log z > TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0

jessi

aaizdam · 14 Sierpień 2011 21:21

Daję tylko raport po wykonaniu skryptu OTL, a skanów GMERem nie robiłam, bo uznałam, że już wszystko działa ok.

Raport http://wklej.to/41QV9

I Java tez zainstalowana

jessica · 15 Sierpień 2011 03:01

To nie jest raport z ostatniego usuwania.

Ale to nieważne, skoro uznajesz, że wszystko jest już OK.

W USBFix kliknij na przycisk UNINSTALL.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

jessi

aaizdam · 15 Sierpień 2011 12:47

Faktycznie, pomylilam sie i dalam ten wczesniejszy raport jeszcze raz. Tu jest prawidłowy http://wklej.to/ZTDIA

Dziękuje bardzo za pomoc i poświęcony czas