system
(system)
2 Marzec 2010 21:01
#1
Witam.
Spyware Doctor (wersja podstawowa, bezpłatna) wykrył mi Trojan-PWS.Lineage (4 infekcji) w Programie startowym. Kilka razy skanowałem i usuwałem - i nic. Dalej siedzi.
Trojan znany także jako:
PWS-Lineage [McAfee]
PWSSteal.Lineage Infostealer.Lineage [symantec]
Troj/Lineage [sophos]
Trojan-PSW.Win32.Lineage
itp.
AVG Anti-Virus Free nic nie wykrywa.
Przy okazji zauważyłem dwie dziwne rzeczy:
Wyniki skanowania rejestru CCleanerem:
Brakujące oprogramowanie startowe C:\WINDOWS\system32\userini.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Brakujące oprogramowanie startowe C:\WINDOWS\system32\userini.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tego userini.exe nie da się usunąć przy pomocy RegCleaner. (A może nie powinienem próbować tego usuwać? :roll: )
Brak punktów przywracania systemu. A było ich kilka…
***
A oto wyniki skanowania HijackThis:
http://www.nopaste.pl/my3
Proszę o pomoc. ![-o<
deFco247
(deFco247)
2 Marzec 2010 21:15
#2
Zawartość logów wklejasz na wklej.org , wklej.to lub nopaste.pl , a w poście dajesz link.
Pokaż logi z narzędzi OTL + System Repair Engineer .
W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
system
(system)
3 Marzec 2010 09:13
#3
log OTL (po pierwszym skanowaniu - nie wiem, czy potrzebny):
http://wklej.org/id/289404/
log SRE:
http://wklej.org/id/289405/
drugi log OTL po przestawieniu na ,All" i ponownym skanowaniu:
http://wklej.org/id/289435/
Dziękuję. Pozdrawiam.
***
Przepraszam, poprawiłem post; mam nadzieję, że o to chodziło.
Sorry, nie skumałem; już poprawiam pierwszy post.
Monczkin
(Monczkin)
3 Marzec 2010 09:15
#4
bybyx , przeczytaj ten temat i popraw post z logiem. Inaczej temat zostanie usunięty. Przeczytaj proszę regulamin forum.
zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html
deFco247
(deFco247)
3 Marzec 2010 13:20
#6
Miałeś poprawić przede wszystkim pierwszy post.
Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:
{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL IE - HKCU…\URLSearchHook: *{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found IE - HKCU…\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledItems: dealio@mybrowserbar.com:4.0.2 FF - prefs.js…extensions.enabledItems: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4}:2.5.6.0 FF - prefs.js…extensions.enabledItems: searchsettings@spigot.com:1.2.3 [2010-01-29 22:14:27 | 000,000,000 | —D | M] (MyAshampoo Toolbar) – C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\1wz5whok.default\extensions{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2009-08-16 14:46:39 | 000,002,240 | ---- | M] () – C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\1wz5whok.default\searchplugins\askcom.xml O4 - HKLM…\Run: [userini] C:\WINDOWS\System32\userini.exe File not found O4 - HKCU…\Run: [ALLUpdate] File not found O4 - HKCU…\Run: [userini] C:\WINDOWS\System32\userini.exe File not found O4 - HKCU…\Run: [Nowe Gadu-Gadu] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: userini = C:\WINDOWS\system32\userini.exe File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: userini = C:\WINDOWS\system32\userini.exe File not found @Alternate Data Stream - 20480 bytes -> C:\WINDOWS\explorer.exe:userini.exe :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
system
(system)
3 Marzec 2010 14:21
#7
Dziękuję za pomoc.
Jest OK. Spyware Doctor już niczego nie wykrywa. =D>
Pozdrawiam.
deFco247
(deFco247)
3 Marzec 2010 15:46
#8
bybyx , to jeszcze nie koniec…
system
(system)
3 Marzec 2010 20:19
#9
Rzeczywiście. Gapa ze mnie. #-o
log z usunięcia:
http://wklej.org/id/289737/
nowy log robiony Run Scan (zakładam, że także przy 2 razy zaznaczonym ,All"):
http://wklej.org/id/289780/
deFco247
(deFco247)
3 Marzec 2010 20:27
#10
W OTL wklej:
Run FIx , potem kliknij CleanUp , bo jest czysto.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i ogólna aktualizacja:
system do stanu Service Pack 3 .
Internet Explorer do wersji ósmej (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
system
(system)
3 Marzec 2010 22:52
#11
Dobry jest. Jednak coś wykrył:
http://wklej.org/id/289902/
(na razie się wstrzymuję z kolejnymi operacjami; czekam na dalsze instrukcje)
deFco247
(deFco247)
4 Marzec 2010 08:32
#12
Jak usunięte, to dobrze. Wykonaj resztę instrukcji.
system
(system)
4 Marzec 2010 15:51
#13
Autostart w CCleanerze:
Aktywne:
IncrediMail
CCleaner
Gadwin PrintScreen
ctfmon.exe [Windows\system32\ctfmon.exe
AVG8_TRAY
ISTray [spyware Doctor\pcts.exe]
WinampAgentAdobe Reader Speed Launch.Ink
LGODDFU [lg_fupdate\fwupdate.exe]
SunJavaUpdateSched
LGODDFU [lg_fwupdate\fwupdate.exe blrun]
Adobe Reader Speed Launch.INK [Adobe\Acrobat 7.0\Reader_sl.exe
Usunąłem z listy: Skype
Mogę jeszcze coś wyłączyć lub usunąć?
(Próbowałem coś jeszcze zamknąć, ale potem wyskakiwały dziwne komunikaty)
Aktualizacja trochę trwała. Potem dodatkowo zdefragmentowałem.
Czy coś jeszcze trzeba/można zrobić?
deFco247
(deFco247)
4 Marzec 2010 16:26
#14
To jeszcze możesz bez obaw wyłączyć.
system
(system)
4 Marzec 2010 16:54
#15
Wielkie dzięki za pomoc.
Przy okazji dowiedziałem się i nauczyłem się, jak się wkleja logi.
Pozdrawiam.