Emi18
(Agamis10)
18 Wrzesień 2011 14:00
#1
Hej. Niestety również padłam ofiarą FB…;/ Wczoraj otworzyłam plik - był od znajomego więc nawet nie pomyślałam o tym że mógłby być to wirus…niestety okazało się że jest to wirus… a nawet kilka ;/ w ogóle nie znam się i nie wiem jak postępować. Mam antywirusa Avire jednak on nie pomaga, próbowałam wielu innych programów aby usunąć również działałam w trybie awaryjnym ale bez skutku ;/ Może ktoś szybko mi pomoże… byłabym bardzo wdzięczna bo sama nie wiem co mam już robić ;( jeszcze jutro wyjeżdżam a chciałabym wyjechać spokojnie z myślą że komp jest cały i zdrowy ;D Dodam że wyskakują mi liczne błędy, również internet strasznie mi zamula co jest bardzo trudne w pracy. Z komunikatów widzę że nazywa się Malware. Zrobiłam logi przez program OTL, oto one:
http://wklej.org/id/595818/
oraz Extras.txt:
http://wklej.org/id/595820/
Bardzo proszę o szybką pomoc
Acorus
(Acorus)
18 Wrzesień 2011 17:50
#2
Odinstaluj Ask Toolbar,BitTorrentBar Toolbar,Softonic-Polska2 Toolbar,TorrentMan Toolbar.
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.defaultthis.engineName: “Gamebario2 Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2652911&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.search.selectedEngine: “Ask.com ” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.13.1.18107 FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=GLSV5&o=10168&locale=en_US&apn_uid=F2A6F4D9-10C1-4177-8FB8-FD24B75AC472&apn_ptnrs=GL&apn_sauid=804A5B76-A7A0-476A-B08C-5A4E4F362804&apn_dtid=YYYYYYYYPL&&q= ” [2010-03-25 20:33:17 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-10-27 21:47:31 | 000,000,000 | —D | M] (TorrentMan Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions{7c5c0f58-e061-457d-9033-77307f5ed00c} [2011-03-01 15:24:56 | 000,000,000 | —D | M] (Softonic-Polska2 Community Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions{87d5d709-40f2-48a7-8f47-7bb821af70ab} [2011-06-23 19:08:57 | 000,000,000 | —D | M] (BitTorrentBar Community Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-06-23 21:42:39 | 000,000,000 | —D | M] (Gamebario2 Community Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions{da81b294-ed20-46ec-946b-565d182f3be1} [2010-12-29 16:27:52 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions\DTToolbar@toolbarnet.com [2011-06-23 19:08:58 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions\engine@conduit.com [2011-09-17 20:01:43 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\extensions\toolbar@ask.com [2011-09-17 20:02:18 | 000,002,574 | ---- | M] () – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\searchplugins\askcom.xml [2011-06-19 12:30:56 | 000,000,923 | ---- | M] () – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\searchplugins\conduit.xml [2010-12-29 16:27:45 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\searchplugins\daemon-search.xml [2011-08-14 20:53:19 | 000,001,196 | ---- | M] () – C:\Documents and Settings\Agnieszka\Dane aplikacji\Mozilla\Firefox\Profiles\mq8g1lvs.default\searchplugins\winamp-search.xml O3 - HKLM…\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {7c5c0f58-e061-457d-9033-77307f5ed00c} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Toolbar\WebBrowser: (no name) - {7C5C0F58-E061-457D-9033-77307F5ED00C} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Toolbar\WebBrowser: (no name) - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) O4 - HKLM…\Run: [Windows Network Console] C:\WINDOWS\system32\wmpdlr32.exe (Pick Sunny Walsh Patty) O4 - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\Run: [MSConfig] C:\Documents and Settings\Agnieszka\cvb.exe () [2011-09-17 23:47:26 | 000,000,000 | —D | C] – C:\Documents and Settings\Agnieszka\Dane aplikacji\PriceGong [2011-09-17 17:35:26 | 000,247,808 | -HS- | C] (Pick Sunny Walsh Patty) – C:\WINDOWS\System32\wmpdlr32.exe [2011-09-18 15:21:26 | 000,333,312 | ---- | M] () – C:\Documents and Settings\Agnieszka\bm.exe [2011-09-18 15:19:29 | 000,047,109 | -H-- | M] () – C:\WINDOWS\System32\userdiff.sav [2011-09-18 15:19:29 | 000,047,109 | -H-- | M] () – C:\Documents and Settings\Agnieszka\userdiff.sav [2011-09-18 15:19:29 | 000,033,792 | -H-- | M] () – C:\Documents and Settings\Agnieszka\cvb.exe [2011-09-18 11:01:02 | 000,000,242 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptytemp]
Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Emi18
(Agamis10)
18 Wrzesień 2011 19:49
#3
Ok, a więc usunęłam te programy choć nie powiem niektóre było ciężko gdyż nie dało się w prosty sposób a oto raport:
http://wklej.org/id/596080/
Myślę że o ten chodziło
A oto log po skanie;
http://wklej.org/id/596083/
Powiem szczerze, że net mi teraz śmiga ale czy już na pewno żadnego wirusa nie mam ??;> chyba z tego wszystkiego będą musiała usunąc konto na Fb ;D:D:D hehe
Teraz po krótkim użytkowaniu znowu pojawił mi się błąd o tym że jest Malware…;( a już myślałam że się go pozbyłam … robiłam scana avirą i wyskoczył mi błąd avscan.exe więc postanowiłam zrobić scan innym antywirusem zrobiłam jeszcze dodatkowy log po tych wyskakujących komunikatach o Malwarze:
http://wklej.org/id/596161/
Acorus
(Acorus)
19 Wrzesień 2011 07:30
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
Emi18
(Agamis10)
19 Wrzesień 2011 10:03
#5
Okej jeszcze wrzucę log po sprzątaniu ;D aby mieć pewność czy jest już wszystko spoko:
http://wklej.org/id/596252/
– Dodane 19.09.2011 (Pn) 17:25 –
Skan przez Avire nadal nie jest dostępny nie wiem dlaczego ;/ gdy chciałam zainstalować sp3 to wyskakuje mi błąd win32 który nie wiem co oznacza… Pracując na kompie po dłuższym czasie znowu pojawiła mi się informacja o wirusie Malware… nie wiem czy mam się tym przejmować czy nie, ponieważ sama już nie wiem co zrobić aby w końcu się jego pozbyć ;( proszę o pomoc…
Emi18
(Agamis10)
19 Wrzesień 2011 17:58
#7
Acorus
(Acorus)
19 Wrzesień 2011 18:16
#8
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-507921405-1060284298-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = search.conduit.com?SearchSource=10&ctid=CT2790392 IE - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\URLSearchHook: {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No CLSID value found IE - HKU\S-1-5-21-507921405-1060284298-725345543-1003…\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found FF - prefs.js…browser.search.defaultthis.engineName: “Softonic-Polska2 Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2907651&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “Softonic-Polska2 Customized Web Search” FF - prefs.js…browser.startup.homepage: “http://search.conduit.com/?ctid=CT2907651&SearchSource=13 ” [2011-09-19 16:31:33 | 000,000,304 | ---- | M] () – C:\WINDOWS\Tasks\GlaryInitialize.job [2011-09-19 16:32:07 | 000,000,260 | ---- | M] () – C:\WINDOWS\Tasks\WGASetup.job @Alternate Data Stream - 847514 bytes -> C:\WINDOWS\temp:temp @Alternate Data Stream - 182 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 @Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:A8ADE5D8 @Alternate Data Stream - 103 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EBF1147B :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Masz zainstalowane dwa antywirusy.O jeden za dużo.Odinstaluj Avirę.
Emi18
(Agamis10)
19 Wrzesień 2011 21:34
#9
A więc odinstalowałam Avirę to jest ten raport po wykonaniu skryptu:
http://wklej.org/id/596703/
Następnie po sprzątaniu wykonałam log:
http://wklej.org/id/596706/
extras.txt:
http://wklej.org/id/596707/
Mogę prosić bardzo o sprawdzenie czy wszystko jest już okej… z góry za wszystko bardzooooo dziękuję ;)
Acorus
(Acorus)
20 Wrzesień 2011 07:11
#10
W porządku.Wykonaj jeszcze aktualizacje.