Trojan-PWS.Lineage

system · 2 Marzec 2010 21:01

Witam.

Spyware Doctor (wersja podstawowa, bezpłatna) wykrył mi Trojan-PWS.Lineage (4 infekcji) w Programie startowym. Kilka razy skanowałem i usuwałem - i nic. Dalej siedzi.

Trojan znany także jako:

PWS-Lineage [McAfee]

PWSSteal.Lineage Infostealer.Lineage [symantec]

Troj/Lineage [sophos]

Trojan-PSW.Win32.Lineage

itp.

AVG Anti-Virus Free nic nie wykrywa.

Przy okazji zauważyłem dwie dziwne rzeczy:

Wyniki skanowania rejestru CCleanerem:

Brakujące oprogramowanie startowe C:\WINDOWS\system32\userini.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Brakujące oprogramowanie startowe C:\WINDOWS\system32\userini.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Tego userini.exe nie da się usunąć przy pomocy RegCleaner. (A może nie powinienem próbować tego usuwać? :roll: )

Brak punktów przywracania systemu. A było ich kilka…

***

A oto wyniki skanowania HijackThis:

http://www.nopaste.pl/my3

Proszę o pomoc. ![-o<

deFco247 · 2 Marzec 2010 21:15

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

Pokaż logi z narzędzi OTL + System Repair Engineer.

W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

system · 3 Marzec 2010 09:13

log OTL (po pierwszym skanowaniu - nie wiem, czy potrzebny):

http://wklej.org/id/289404/

log SRE:

http://wklej.org/id/289405/

drugi log OTL po przestawieniu na ,All" i ponownym skanowaniu:

http://wklej.org/id/289435/

Dziękuję. Pozdrawiam.

***

Przepraszam, poprawiłem post; mam nadzieję, że o to chodziło.

Sorry, nie skumałem; już poprawiam pierwszy post.

Monczkin · 3 Marzec 2010 09:15

bybyx , przeczytaj ten temat i popraw post z logiem. Inaczej temat zostanie usunięty. Przeczytaj proszę regulamin forum.

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

system · 3 Marzec 2010 11:58

Post poprawiony.

Pozdrawiam.

deFco247 · 3 Marzec 2010 13:20

Miałeś poprawić przede wszystkim pierwszy post.

Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:

{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}

{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}

{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL IE - HKCU…\URLSearchHook: *{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found IE - HKCU…\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…extensions.enabledItems: dealio@mybrowserbar.com:4.0.2 FF - prefs.js…extensions.enabledItems: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4}:2.5.6.0 FF - prefs.js…extensions.enabledItems: searchsettings@spigot.com:1.2.3 [2010-01-29 22:14:27 | 000,000,000 | —D | M] (MyAshampoo Toolbar) – C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\1wz5whok.default\extensions{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2009-08-16 14:46:39 | 000,002,240 | ---- | M] () – C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\1wz5whok.default\searchplugins\askcom.xml O4 - HKLM…\Run: [userini] C:\WINDOWS\System32\userini.exe File not found O4 - HKCU…\Run: [ALLUpdate] File not found O4 - HKCU…\Run: [userini] C:\WINDOWS\System32\userini.exe File not found O4 - HKCU…\Run: [Nowe Gadu-Gadu] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: userini = C:\WINDOWS\system32\userini.exe File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: userini = C:\WINDOWS\system32\userini.exe File not found @Alternate Data Stream - 20480 bytes -> C:\WINDOWS\explorer.exe:userini.exe :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

system · 3 Marzec 2010 14:21

Dziękuję za pomoc.

Jest OK. Spyware Doctor już niczego nie wykrywa. =D>

Pozdrawiam.

deFco247 · 3 Marzec 2010 15:46

bybyx , to jeszcze nie koniec…

system · 3 Marzec 2010 20:19

Rzeczywiście. Gapa ze mnie. #-o

log z usunięcia:

http://wklej.org/id/289737/

nowy log robiony Run Scan (zakładam, że także przy 2 razy zaznaczonym ,All"):

http://wklej.org/id/289780/

deFco247 · 3 Marzec 2010 20:27

W OTL wklej:

Run FIx , potem kliknij CleanUp , bo jest czysto.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i ogólna aktualizacja:

system do stanu Service Pack 3.
Internet Explorer do wersji ósmej (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

system · 3 Marzec 2010 22:52

Dobry jest. Jednak coś wykrył:

http://wklej.org/id/289902/

(na razie się wstrzymuję z kolejnymi operacjami; czekam na dalsze instrukcje)

deFco247 · 4 Marzec 2010 08:32

Jak usunięte, to dobrze. Wykonaj resztę instrukcji.

system · 4 Marzec 2010 15:51

Autostart w CCleanerze:

Aktywne:

IncrediMail

CCleaner

Gadwin PrintScreen

ctfmon.exe [Windows\system32\ctfmon.exe

AVG8_TRAY

ISTray [spyware Doctor\pcts.exe]

WinampAgentAdobe Reader Speed Launch.Ink

LGODDFU [lg_fupdate\fwupdate.exe]

SunJavaUpdateSched

LGODDFU [lg_fwupdate\fwupdate.exe blrun]

Adobe Reader Speed Launch.INK [Adobe\Acrobat 7.0\Reader_sl.exe

Usunąłem z listy: Skype

Mogę jeszcze coś wyłączyć lub usunąć?

(Próbowałem coś jeszcze zamknąć, ale potem wyskakiwały dziwne komunikaty)

Aktualizacja trochę trwała. Potem dodatkowo zdefragmentowałem.

Czy coś jeszcze trzeba/można zrobić?

deFco247 · 4 Marzec 2010 16:26

To jeszcze możesz bez obaw wyłączyć.

system · 4 Marzec 2010 16:54

Wielkie dzięki za pomoc.

Przy okazji dowiedziałem się i nauczyłem się, jak się wkleja logi.

Pozdrawiam.