peszir
(Pm1992)
12 Styczeń 2010 19:22
#1
Witam!
Bardzo proszę o pomoc w sprawie owego wirusa. Przeglądałem wątki na ten temat ale za każdym razem zacny admin Gutek rozwiązuje problem do konkretnego przykładu. Postanowiłem więc napisać i poprosić osobiście o pomoc. Oczywiście wszystko wygląda bardzo podobnie jak i we wcześniejszych tematach. Avast wyświetla, że znalazł tego wirusa. On sam uruchamia reklamy (najczęściej erotyczne) itd.
Oto logi z OTL:
http://www.sendspace.pl/file/5e3d2e198ecec5dc38e22b3
http://www.sendspace.pl/file/de624b15cf33a2b37362efc
Patryk94
(Patryk94)
12 Styczeń 2010 19:41
#2
Wrzuć logi na www.wklej.org bo wątpie czy komukolwiek chce się je ściągać na dysk [-X
peszir
(Pm1992)
12 Styczeń 2010 19:48
#3
jessica
(jessica)
12 Styczeń 2010 21:15
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL SRV - [2009-12-09 14:06:42 | 00,046,456 | ---- | M] () [Auto | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice111.exe – (QuestService Service) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi … t=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi … t=&gc=1&q= IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.theprizeday.com/today.php IE - HKCU…\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll () FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.2 FF - prefs.js…extensions.enabledItems: {AAF6454A-4000-4015-84C1-6CD844C06B19}:1.0 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.1.0.2080 FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.1.0.5290 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.1.0.1960 FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= ” FF - HKLM\software\mozilla\Firefox\Extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.1.0.2080\FF [2009-12-17 18:22:15 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5290\FF [2009-12-17 18:22:29 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.1.0.1960\FF [2009-12-17 18:22:45 | 00,000,000 | —D | M] [2009-06-19 19:25:00 | 00,000,000 | —D | M] (No name found) – C:\Documents and Settings\q\Dane aplikacji\Mozilla\Firefox\Profiles\qu07r7sx.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} [2009-06-19 19:25:58 | 00,000,681 | ---- | M] () – C:\Documents and Settings\q\Dane aplikacji\Mozilla\Firefox\Profiles\qu07r7sx.default\searchplugins\ask.xml [2009-12-17 18:28:42 | 00,000,000 | —D | M] (QuestService) – C:\Program Files\Mozilla Firefox\extensions{AAF6454A-4000-4015-84C1-6CD844C06B19} O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5290\ACEIEAddOn.dll () O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.1.0.1960\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1990\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1810\TCPIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.1.0.2080\WSO.dll () O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe File not found O4 - HKCU…\Run: [iGoD] C:\Documents and Settings\q\Pulpit\iGoDr01513.exe File not found O33 - MountPoints2{12541e32-8aa2-11de-9623-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{12541e32-8aa2-11de-9623-0060b30e7a54}\Shell\AutoRun\command - “” = F:\LaunchU3.exe – File not found O33 - MountPoints2{17256644-d9eb-11de-970a-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{17256644-d9eb-11de-970a-0060b30e7a54}\Shell\AutoRun\command - “” = F:\LaunchU3.exe – File not found O33 - MountPoints2{2695ce72-0e65-11de-9468-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{4152d084-66f8-11de-95b9-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{4152d085-66f8-11de-95b9-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{db4073a2-e80f-11de-9736-0060b30e7a54}\Shell - “” = AutoRun O33 - MountPoints2{db4073a2-e80f-11de-9736-0060b30e7a54}\Shell\AutoRun\command - “” = F:\LaunchU3.exe – File not found O33 - MountPoints2\F\Shell - “” = AutoRun O33 - MountPoints2\F\Shell\AutoRun\command - “” = F:\LaunchU3.exe – File not found [2009-12-17 18:24:47 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Textual Content Provider [2009-12-17 18:24:06 | 00,000,000 | —D | C] – C:\Program Files\QuestService [2009-12-17 18:24:06 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService [2009-12-17 18:23:48 | 00,000,000 | —D | C] – C:\Program Files\Textual Content Provider [2009-12-17 18:23:34 | 00,000,000 | —D | C] – C:\Program Files\Content Management Wizard [2009-12-17 18:23:12 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Internet Today [2009-12-17 18:23:11 | 00,000,000 | —D | C] – C:\Program Files\Internet Today [2009-12-17 18:22:45 | 00,000,000 | —D | C] – C:\Program Files\Customized Platform Advancer [2009-12-17 18:22:45 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Customized Platform Advancer [2009-12-17 18:22:29 | 00,000,000 | —D | C] – C:\Program Files\Automated Content Enhancer [2009-12-17 18:22:29 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Automated Content Enhancer [2009-12-17 18:22:16 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Web Search Operator [2009-12-17 18:22:15 | 00,000,000 | —D | C] – C:\Program Files\Web Search Operator [2009-12-17 18:21:49 | 00,000,000 | —D | C] – C:\Program Files\Gameztar Toolbar [2009-12-17 18:21:35 | 00,000,000 | —D | C] – C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Gameztar Toolbar :Files C:\Program Files\AskBarDis :Services QuestService Service :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
Na “wklejto” wklejaj tekst, a nie plik!
jessi
peszir
(Pm1992)
12 Styczeń 2010 22:13
#5
jessica
(jessica)
12 Styczeń 2010 22:23
#6
Powtórz usuwanie, ale zwróć uwagę, by w Scripcie był dwukropek przed OTL na samym początku.
jessi
peszir
(Pm1992)
13 Styczeń 2010 18:34
#7
Witam ponownie!
Powtórzyłem usuwanie i oto wynik:
http://wklejto.pl/53789
http://wklejto.pl/53790
Pomogło Dziękuję bardzo! Reklamiarz sobie poszedł
jessica
(jessica)
13 Styczeń 2010 18:37
#8
Teraz usuwanie się udało.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2}"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
peszir
(Pm1992)
13 Styczeń 2010 18:53
#9
Super!
Jeszcze raz dziękuję bardzo! Wiedziałem, że na tym forum jest na kogo liczyć Dzięki takim ludziom jak Jessi to forum staje się lepszym miejscem. Dzięki!