Win32/OpenCandy Program - NOD nie usuwa


(El Mariachi) #1

Witam

Pierwszy raz korzystam z tego forum, proszę o wyrozumiałość.

NOD32 jak w tytule wykrywa mi coś takiego na dysku E i wcale nie chce tego usunąć. Zupełnie nie znam się na komputerach, NODa używam bo ktoś kiedyś mi go zainstalował i jak do tej pory wszystko działało z powodzeniem (jak była infekcja to się jej dzięki niemu pozbywałem).

Posiadam też Malwarebytes' Anti-Malware który również niczego nie wykrywa.

Nie wiem jak tego czegoś się pozbyć. Proszę o pomoc

Taka pełna nazwa tego co w tytule:

System Volume Information_restore{D16843BF-258F-4412-8AB4-5E63F98C35F4}\RP531\A0203104.exe »NSIS »OCSetupHlp.dll - Win32/OpenCandy Program


(Leon$) #2

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy ... vista.html

:slight_smile:


(El Mariachi) #3

Mam przywracać system?

Nie jest to jakiś wirus, robak czy spayware, nie wymaga innego programu antywirusowego czy czegoś innego? Jest to tylko jakiś błędny zapis w systemie, który to odczytywany jest jako infekcja?


(Leon$) #4

czy ty umiesz czytać ze zrozumieniem?

skoro masz wirusa w punkcie przywracania systemu

to należy ten punkt usunąć a robi się to tak jak podałem

:slight_smile:


(El Mariachi) #5

Oj tam zaraz od okaleczonych intelektualnie.

Pojęcia nie miałem gdzie ten wirus się znajdował mimo tego, że było napisane "System Volume" coś tam. Jak uprzedzałem, na komputerach nie znam się zupełnie, ja nie lubię ich a one mnie :slight_smile:

Niemniej jednak dziękuję, zrobiłem i podziałało.

Pozdrawiam


(Wbetka27) #6

Witam,

też pierwszy raz na forum. Mam podobny problem i zupełnie sobie z nim nie radzę, a że nie jestem fachowcem od komputerów to moje możliwosci też są ograniczone. Moj komp też został zainfekowany OpenCandy i ani NOD ani Malwarebytes nie moze go usunąć.Zamieszczona tu propozycja również nie pomogła. komputer mi zupełnie zwariował, tabulatory same się przesuwają we wszystkie możliwe strony, a w Winamp i Allplayer samo się przycisza i podgłaśnia, ogólnie korzystanie z kompa stało się uciążliwe. Błagam pomóżcie bo zupełnie się na tym nie znam i już sama nie wiem co z tym mogę zrobić.

to kopia z notatnika :

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Wersja bazy: 6701

Windows 5.1.2600 Dodatek Service Pack 2

Internet Explorer 8.0.6001.18702

2011-05-29 17:30:37

mbam-log-2011-05-29 (17-30-37).txt

Typ skanowania: Pełne skanowanie (E:\|)

Przeskanowano obiektów: 162148

Upłynęło: 5 minut(y), 57 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 2

Zainfekowanych folderów: 0

Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Delete on reboot.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Delete on reboot.

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

Zainfekowanych plików:

(Nie znaleziono zagrożeń)

a to z NOD-a : Czas Moduł Obiekt Nazwa Wirus Czynność Użytkownik Informacje

2011-05-28 13:18:34 AMON zbiór C:\DOCUME~1\Beata\USTAWI~1\Temp\nsm8B7.tmp\OCSetupHlp.dll Win32/OpenCandy Program Kwarantanna - usunięty Zdarzenie miało miejsce podczas próby tworzenia nowego zbioru przez program: E:\instalki\winamp561_full_bundle_emusic-7plus_pl-pl.exe. Zbiór został przeniesiony do kwarantanny.


(Leon$) #7

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

:slight_smile:


(Wbetka27) #8

Póki co Dzięki za odpowiedź , zalecenia zrobione (mam nadzieję, że dobrze) i czekam na dalsze instrukcje ...

http://wklej.to/lhvY1

Pozdr.

B.


(Leon$) #9

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile:

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe


(Wbetka27) #10

All processes killed

========== OTL ==========

Service fabee7a4 stopped successfully!

Service fabee7a4 deleted successfully!

C:\WINDOWS\system32\drivers\fabee7a4.sys moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-682003330-1454471165-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011\ deleted successfully.

Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}

C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.

Starting removal of ActiveX control DirectAnimation Java Classes Reg Error: Value error.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes Reg Error: Value error.\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes Reg Error: Value error.\ not found.

Starting removal of ActiveX control Microsoft XML Parser for Java Reg Error: Value error.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java Reg Error: Value error.\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java Reg Error: Value error.\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\BitTorrent DNA\ deleted successfully.

C:\WINDOWS\tasks\User_Feed_Synchronization-{348E80D3-BE5A-4401-A9B7-C53D09091DB6}.job moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.

========== COMMANDS ==========

Restore points cleared and new OTL Restore Point set!

[EMPTYTEMP]

User: Administrator

->Temporary Internet Files folder emptied: 32768 bytes

User: Administrator.WOJAS

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 2959583 bytes

->Flash cache emptied: 520 bytes

User: All Users

User: Beata

->Temp folder emptied: 138459 bytes

->Temporary Internet Files folder emptied: 12414973 bytes

->Java cache emptied: 51101328 bytes

->Google Chrome cache emptied: 158697724 bytes

->Flash cache emptied: 13509141 bytes

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 569215 bytes

->Temporary Internet Files folder emptied: 8130343 bytes

->Flash cache emptied: 348 bytes

User: Sąsiad

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1119633 bytes

%systemroot%\System32 .tmp files removed: 2675748 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 141312 bytes

RecycleBin emptied: 4352705 bytes

Total Files Cleaned = 244,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\: LSP stack updated.

OTL by OldTimer - Version 3.2.23.0 log created on 05292011_203326

Files\Folders moved on Reboot...

File\Folder C:\Documents and Settings\Beata\Ustawienia lokalne\Temp\~DF1906.tmp not found!

File\Folder C:\Documents and Settings\Beata\Ustawienia lokalne\Temp\~DFFCA9.tmp not found!

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\Content.IE5\M7VDFT8T\ads[4].htm moved successfully.

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\Content.IE5\F1ELZ065\ads[7].htm moved successfully.

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\Content.IE5\F1ELZ065\index[1].htm moved successfully.

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\Content.IE5\1IBSQF89\win32-opencandy-program-nod-nie-usuwa-t447833[1].html moved successfully.

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

C:\Documents and Settings\Beata\Ustawienia lokalne\Temporary Internet Files\SuggestedSites.dat moved successfully.

Registry entries deleted on Reboot...


(Leon$) #11

1.usuwanie udało się

dla czego nie wklejasz według zasad

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

2.potem nowy log OTLrobiony opcją Run Scan(Skanuj) - nie widzę

:slight_smile:


(Wbetka27) #12

Sorki to wszystko chyba z braku doświadczenia i chyba z przejęcia tą "walką z wirusami" :wink:

Po usunięciu combofix wywalił się również OTL :frowning: ( zainstalowałam ponownie)


(Leon$) #13

proszę zrobić nowy log opcją Skanuj

:slight_smile:


(Wbetka27) #14

http://wklej.to/C5jXw

http://wklej.to/DLRbe

-- Dodane 29.05.2011 (N) 22:53 --

... i jaki wyrok ? bo poprawę już widzę, nie muszę walczyć z suwakami żeby przeczytać choćby to forum :slight_smile:


(Leon$) #15

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI ... 12976.html

:slight_smile:


(Wbetka27) #16

Witam,

CCleaner mam i używam,ale oczywiście przeskanuje. Moja radość była chyba przedwczesna bo właśnie włączyłam kompa i znów to samo szaleje, jakby nie chciał żebym cokolwiek odczytała i napisała, na dodatek czasem jak wchodzę na internet to strona startowa powiększa się do rozmiarów XXL, nie mam już siły :frowning: