grl
(Grlbpn)
28 Marzec 2012 12:19
#1
Witam serdecznie
Mam problem z pewnym wirusem który ukrywa się pod Windows Debug Center. Działa to tak jak Anty Virus protection 2012 itp. Program antywirusowy nie potrafi nic z tym zrobić. Prosiłbym o pomoc jak to usunąć przez otl. O to co mi wyszło po skanowaniu OTL http://www.wklejto.pl/121111
Pozdrawiam
Acorus
(Acorus)
28 Marzec 2012 13:14
#2
Odinstaluj Complitly,Download Energy Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM…\URLSearchHook: {ad708c09-d51b-45b3-9d28-4eba2681febf} - C:\Program Files (x86)\Download_Energy\prxtbDown.dll (Conduit Ltd.) IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1269415 IE - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT1269415 IE - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\URLSearchHook: {ad708c09-d51b-45b3-9d28-4eba2681febf} - C:\Program Files (x86)\Download_Energy\prxtbDown.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1269415 FF - prefs.js…browser.search.defaultthis.engineName: “Download Energy Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1269415&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “Download Energy Customized Web Search” [2012-03-12 15:13:49 | 000,000,000 | —D | M] (Complitly - Speed up your search with your personal search suggestions tool) – C:\Users\Maciek\AppData\Roaming\mozilla\Firefox\Profiles\f4d3tei3.default\extensions{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-03-12 15:13:54 | 000,000,000 | —D | M] (Download Energy Community Toolbar) – C:\Users\Maciek\AppData\Roaming\mozilla\Firefox\Profiles\f4d3tei3.default\extensions{ad708c09-d51b-45b3-9d28-4eba2681febf} [2012-02-22 13:49:34 | 000,000,933 | ---- | M] () – C:\Users\Maciek\AppData\Roaming\Mozilla\Firefox\Profiles\f4d3tei3.default\searchplugins\conduit.xml O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\Run: [inspector] C:\Users\Maciek\AppData\Roaming\Protector-hbuw.exe () O27:64bit: - HKLM IFEO\AlphaAV: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\AntivirusPlus: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\AntivirusXP: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\control: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\init32.exe : Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\msconfig: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\personalguard: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\rwg: Debugger - C:\windows\SysNative\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\AlphaAV: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\AntivirusPlus: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\AntivirusXP: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\control: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\init32.exe : Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\msconfig: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\personalguard: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\rwg: Debugger - C:\windows\SysWow64\svchost.exe (Microsoft Corporation) [2012-03-27 20:11:24 | 000,000,000 | —D | C] – C:\ProgramData\B7E85886000433A45E27B954A60145BE [2012-03-12 15:13:53 | 000,000,000 | —D | C] – C:\Program Files (x86)\Conduit [2012-03-12 15:13:52 | 000,000,000 | —D | C] – C:\Users\Maciek\AppData\Local\Conduit [2012-03-28 12:24:43 | 000,000,290 | -H-- | M] () – C:\windows\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2012-03-28 12:24:40 | 000,000,290 | -H-- | M] () – C:\windows\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job [2012-03-28 12:24:21 | 000,000,302 | -HS- | M] () – C:\windows\tasks\Eaexrofk.job [2012-03-28 11:50:49 | 000,000,818 | ---- | M] () – C:\Users\Maciek\Desktop\Windows Debug Center.lnk [2012-03-28 11:50:42 | 001,956,352 | ---- | M] () – C:\Users\Maciek\AppData\Roaming\Protector-hbuw.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
grl
(Grlbpn)
28 Marzec 2012 20:08
#3
Acorus
(Acorus)
29 Marzec 2012 07:39
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-03-28 21:25:33 | 000,032,768 | ---- | M] () – C:\Users\Maciek\AppData\Local\Temp\60A6.tmp MOD - [2012-03-28 21:25:32 | 000,057,856 | ---- | M] () – C:\Users\Maciek\AppData\Local\Temp\5A9D.tmp O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\Toolbar\WebBrowser: (no name) - {AD708C09-D51B-45B3-9D28-4EBA2681FEBF} - No CLSID value found. O4 - HKLM…\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found O4 - HKU\S-1-5-21-1214811003-1602402036-1878397456-1001…\Run: [DT Soft] C:\Users\Maciek\AppData\Roaming\BBAB13.exe () [2012-03-28 11:50:49 | 000,000,868 | ---- | C] () – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Debug Center.lnk :Files C:\ProgramData\B7E85886000433A45E27B954A60145BE :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
grl
(Grlbpn)
1 Kwiecień 2012 13:36
#5
Witam serdecznie. Nie pisałem bo miałem problem tym razem z Antivirus Protection 2012 ale już to ogarnałem. Oto co jest teraz po skanowaniu. Chyba wszystko już ok http://www.wklejto.pl/121485
Acorus
(Acorus)
1 Kwiecień 2012 13:53
#6
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt…W OTL użyj opcji Sprzątanie.Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.