Marcin87
(Marcin Antyk)
5 Kwiecień 2011 13:43
#1
Witam. Złapałem dzisiaj ten syf udający XP Home Security. Blokuje przeglądarki na moim koncie (na tym z którego teraz pisze działają normalnie), nie sprawdzałem jak działają inne programy. Proszę o pomoc, sam nigdy nie dam rady się z tym uporać, jestem zbyt zielony
Logi: OTL i EXTRAS
EDIT: Powyższe logi były robione z tego, “działającego” konta w systemie, natomiast tu są z tego “zainfekowanego”, w którym nie mogę uruchomić przeglądarki, one się trochę różnią, ale nie wiem, czy to takie ważne (wybaczcie, jak napisałem wyżej, jestem zielony) - jeszcze raz OTL i EXTRAS
Wklej w OTL i naciśnij wykonaj skrypt:
:OTL SRV - File not found [On_Demand | Stopped] – -- (ose) SRV - File not found [On_Demand | Stopped] – -- (odserv) SRV - File not found [On_Demand | Stopped] – -- (Microsoft Office Groove Audit Service) SRV - File not found [Auto | Stopped] – -- (a2free) IE - HKCU…\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - Reg Error: Key error. File not found O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - Reg Error: Value error. File not found O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - No CLSID value found. O3 - HKLM…\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKLM…\Run: [GrooveMonitor] File not found O4 - HKLM…\Run: [nwiz] File not found O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Reg Error: Value error. File not found O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.) O16 - DPF: {00000161-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaud.cab (Reg Error: Key error.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … mv9dmo.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Value error. File not found O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Value error. File not found O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - Reg Error: Value error. File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Reg Error: Value error. File not found O34 - HKLM BootExecute: (D:\Programy\PARAGO~1\PARTIT~1.0PR\bluescrn\bluescrn.exe) - File not found [2011-04-05 14:51:21 | 000,011,766 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\6g736881l4k5h7p7nywvq7ca62l4tu4888xd O35 - HKCU…exefile [open] – “C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\svk.exe” -a “%1” %* () O37 - HKCU…exe [@ = exefile] – “C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\svk.exe” -a “%1” %* () [2011-04-05 15:49:04 | 000,011,758 | -HS- | M] () – C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\6g736881l4k5h7p7nywvq7ca62l4tu4888xd [2011-04-05 12:44:01 | 000,327,680 | -HS- | C] () – C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\svk.exe @Alternate Data Stream - 520 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF @Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:44DAF2F1 @Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C05A8628 @Alternate Data Stream - 103 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\WINDOWS\Temp~TMAE.tmp”=- “C:\WINDOWS\Temp~TME.tmp”=- “C:\WINDOWS\Temp~TM7E.tmp”=- :Commands [emptytemp]
dajesz log z usuwania i nowy log z OTL
Marcin87
(Marcin Antyk)
5 Kwiecień 2011 14:29
#3
Log z usuwania i nowy OTL
Wielkie dzięki, już na powrót wszystko normalnie działa, fałszywy XP Home Security chyba przestał istnieć
Wklej w OTL jeszcze te resztki:
:OTL DRV - File not found [Kernel | On_Demand | Running] – -- (ALSysIO) IE - HKCU…\URLSearchHook: {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - Reg Error: Key error. File not found IE - HKCU…\URLSearchHook: {F08555B0-9CC3-11D2-AA8E-000000000567} - Reg Error: Key error. File not found [2010-04-29 16:04:59 | 000,000,000 | —D | M] (“Ask Toolbar for Firefox”) – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\9d5rj82h.default\extensions{E9A1DEE0-C623-4439-8932-001E7D17607D} O3 - HKCU…\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Po wykonaniu skryptu naciśnij w OTL sprzątanie, i jak dla mnie to na tyle.
Marcin87
(Marcin Antyk)
5 Kwiecień 2011 14:58
#5
To jeszcze dla pewności, do rzucenia okiem
Log z usuwania i OTL , system posprzątany
Jak dla mnie czysto.
dodatkowo zaaktualizuj system do SP3:
http://www.dobreprogramy.pl/Windows-XP- … 12243.html
Marcin87
(Marcin Antyk)
5 Kwiecień 2011 15:50
#7
Ok, jeszcze raz wielkie dzięki za pomoc
Zess
(Wojas111)
10 Kwiecień 2011 16:10
#8
Witam.
Mam ten sam problem.
Próbowałem tych skryptów co powyżej i problem znikł, lecz powrócił już drugi raz.
Logi: OTL
Proszę o skrypty dla mnie.
Z góry dziękuję
Acorus
(Acorus)
10 Kwiecień 2011 16:42
#9
Ale zarazy.Przeskanuj progr.Malwarebytes Anti-Malware.
Przeskanuj programem Dr.WEB CureIt http://ftp.drweb.com/pub/drweb/cureit/launch.exe
Później daj nowe logi.
krzych5610
(krzych5610)
10 Kwiecień 2011 16:56
#10
Witam.
Twój problem nazywa się Virut ( wuaucldt.exe ) Skanowanie dysku w trybie awaryjnym za pomocą Virut-Removal-Tool. Do pobrania z http://www.softpedia.com/get/Antivirus/ … Tool.shtml .
Ze strony - http://support.kaspersky.com/pl/faq/?qid=208280753 , pobrać Virutkiller.zip. Wyłączyć w tym przypadku funkcję przywracania systemu dla wszystkich partycji.
Bardziej skuteczny jest skan zewnętrzny za pomocą
http://support.kaspersky.com/pl/faq/?qid=208282170 . Do pobrania Kaspersky Rescude Disk, tak jak wyżej.
Skan wykonać przy heurystyce ustawionej na max. Skan maksymalny. Skanować wszystkie partycje.
– Dodane 10.04.2011 (N) 19:01 –
Zess , Witam.
Twój problem nazywa się Virut ( wuaucldt.exe ) Skanowanie dysku w trybie awaryjnym za pomocą Virut-Removal-Tool. Do pobrania z http://www.softpedia.com/get/Antivirus/ … Tool.shtml.
Ze strony - http://support.kaspersky.com/pl/faq/?qid=208280753 , pobrać Virutkiller.zip. Wyłączyć w tym przypadku funkcję przywracania systemu dla wszystkich partycji.
Bardziej skuteczny jest skan zewnętrzny za pomocą
http://support.kaspersky.com/pl/faq/?qid=208282170 . Do pobrania Kaspersky Rescude Disk, tak jak wyżej.
Skan wykonać przy heurystyce ustawionej na max. Skan maksymalny. Skanować wszystkie partycje.
Zess
(Wojas111)
10 Kwiecień 2011 18:55
#11
Ściągnąłem VirutKiller i przeskanował cały komputer, trwało to dość długo.
Ale wygląda na to że nic nie znalazł:
Pobrałem iso z linku http://support.kaspersky.com/pl/faq/?qid=208282170 lecz montując je w deamonie otwiera się tylko folder i nie wiem co z tym zrobić.
Proszę o porady, również jestem zielony.
Acorus
(Acorus)
10 Kwiecień 2011 19:08
#12
Bo to nie jest virut.Miałeś przeskanować tymi programami i podać nowe logi.
krzych5610
(krzych5610)
10 Kwiecień 2011 19:15
#13
Kaspersky Rescude Disk 10 to obraz ISO-Boot do nagrania na CD. Nie instalujesz tego do deamonie. Nagraną płytkę CD do napędu i uruchomić PC. Start z poziomu CD. Należy potwierdzić ( odlicza czas … ), jeżeli tego nie zrobisz przejdzie do systemowego Windowsa. Wybrać j.polski, postępować zgodnie z poleceniami. Po całkowitym wczytaniu otworzy się okno na którym ukarze się lista partycji, foldery systemowe i ukryte. Zaznaczyć wszystkie partycje. Przed rozpoczęciem skanowania ustawić w trybie narzędzia - skanować wszystkie pliki, poziom heurystyki - max. Jeśli masz łącze stałe nie typu WiFi - Kasperski wykona aktualizację swoich baz.
Skanowanie dotyczy całego dysku, nie jednej partycji C. Virut infekuje wszystkie partycje.
– Dodane 10.04.2011 (N) 21:38 –
–> Acorus
To informacje mówią zupełnie coś innego - http://translate.google.pl/translate?hl … d%3Divnsfd
Zess
(Wojas111)
11 Kwiecień 2011 11:57
#14
Witam ponownie.
Przeskanowałem tym kasperskym, znalazł dużo syfu, wyleczyłem co sie da reszte usunołem.
Jeśli chodzi o zwykłe używanie kompa to wszystko w normie, również nie widze żadnych nieznanych procesów.
Tylko niepokoi mnie to że naprzykład w msconfig w uruchamianiu jako lokalizacja wszystkich programów jest jakieś HKLM\SOFTWARE itd. a wcześniej miałem normalną ścieżkę dostępu do tych programów.
LOG : OTL
Acorus
(Acorus)
11 Kwiecień 2011 12:25
#15
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL SRV - File not found [Auto | Stopped] – -- (SSHNAS) SRV - File not found [Auto | Stopped] – -- (SPService) SRV - File not found [Disabled | Stopped] – -- (ServiceLayer) SRV - File not found [Disabled | Stopped] – -- (gupdate) Usługa Google Update (gupdate) SRV - File not found [Disabled | Stopped] – -- (AMService) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://shop.thefreevpn.com/home.php IE - HKCU…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaulturl: “http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542 ” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…browser.startup.homepage: “http://shop.thefreevpn.com/home.php ” FF - prefs.js…extensions.enabledItems: support@predictad.com:1.11 FF - HKLM\software\mozilla\Firefox\extensions\support@predictad.com: C:\Program Files\AutocompletePro\support@predictad.com [2010-07-22 01:07:48 | 000,000,000 | —D | M] [2010-03-03 08:47:34 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\Wojas101\Dane aplikacji\Mozilla\Firefox\Profiles\alessn8h.default\extensions\DTToolbar@toolbarnet.com [2010-06-07 23:40:16 | 000,000,000 | —D | M] (Shaved Bieber) – C:\Documents and Settings\Wojas101\Dane aplikacji\Mozilla\Firefox\Profiles\alessn8h.default\extensions\shaved-bieber@gleuch.com [2010-03-12 00:05:28 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\Wojas101\Dane aplikacji\Mozilla\Firefox\Profiles\alessn8h.default\extensions\toolbar@ask.com [2010-07-22 01:07:48 | 000,000,000 | —D | M] (“AutocompletePro - Your handy search suggestions tool”) – C:\PROGRAM FILES\AUTOCOMPLETEPRO\SUPPORT@PREDICTAD.COM [2010-08-12 22:06:48 | 000,002,226 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - File not found O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O3 - HKLM…\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - File not found O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O4 - HKLM…\Run: [Regedit32] File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found O29 - HKLM SecurityProviders - (mupcgysl.dll) - File not found [2011-04-11 13:48:08 | 000,000,294 | -H-- | M] () – C:\WINDOWS\tasks{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2011-04-11 13:48:08 | 000,000,260 | ---- | M] () – C:\WINDOWS\tasks\WGASetup.job [2011-04-11 13:48:08 | 000,000,252 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2011-04-10 21:01:00 | 000,000,240 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2011-04-10 18:41:20 | 000,005,182 | -HS- | M] () – C:\Documents and Settings\Wojas101\Ustawienia lokalne\Dane aplikacji\r266m2mapnqt5j2xjk82j0q7c07n3xs82x [2011-04-10 18:41:20 | 000,005,182 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\r266m2mapnqt5j2xjk82j0q7c07n3xs82x [2011-04-10 18:40:27 | 000,344,064 | -HS- | M] () – C:\Documents and Settings\Wojas101\Ustawienia lokalne\Dane aplikacji\vui.exe [2011-04-10 16:23:10 | 000,014,224 | -HS- | M] () – C:\Documents and Settings\Wojas101\Ustawienia lokalne\Dane aplikacji\74f6g666u8j7p4j75p3311q4xb2w0nqhxt8j2f7yk102hw [2011-04-10 16:23:10 | 000,014,224 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\74f6g666u8j7p4j75p3311q4xb2w0nqhxt8j2f7yk102hw [2015-02-17 20:50:59 | 000,000,013 | ---- | C] () – C:\WINDOWS\System32\WinSys16.crc [2010-12-27 01:15:55 | 000,000,004 | ---- | C] () – C:\Documents and Settings\Wojas101\Dane aplikacji\avdrn.dat :Commands [emptytemp]
Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Pokaż też log extras(dodatkowy rejestr-użyj filtrowania)
Acorus
(Acorus)
11 Kwiecień 2011 13:07
#17
Odinstaluj Ask Toolbar,AutocompletePro,DAEMON Tools Toolbar,free-downloads.net Toolbar.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl
http://www.vista.pl/artykuly/11250_przy … vista.html
Przeskanuj progr.Malwarebytes Anti-Malware.
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe
Zess
(Wojas111)
11 Kwiecień 2011 15:38
#18
All done.
Dzieki za pomoc, myślę że pozbyłem się większości.
Jechałem przez jakieś 4 lata bez czegokolwiek więc pewnie troche tego złapałem.
I tu mam pytanie- czy jest jakiś całkowicie darmowy program który na codzień może chronić mój komputer?
Priorytetem jest małe obciążenie komputera, jeśli będzie żarł więcej jak 5% procesora non stop to nie jest dla mnie.
Mam jednordzeniowy Intel 3,46 GHz i 1 GB ramu + słabiutką grafe 256 Mb z Nvidi …
Dopiero pod koniec roku składam sześciordzeniową machine z kartą 1 GB i conajmniej 4 ramu
krzych5610
(krzych5610)
11 Kwiecień 2011 16:51
#19
Witam .
Proponuję Comodo Internet Security - http://www.dobreprogramy.pl/Comodo-Inte … 12952.html . Pracuje u mnie już od wersji CIS 3. Zainstalowany na laptopie Lenovo 3000 N100. Procesor x86 Family 6 Model 14 Stepping 8 Genuinelntel 1596 MHz. Pamięć DDR2 1 GB. Karta grafiki zintegrowana Intel 32 MB. Na tak przygotowanym przez producenta sprzęcie, piszę to z czystym sumieniem, Comodo okazał się i jest najlepiej działającym programem. Wypadły takie tuzy jak: MKS_VIR, F-Secure, Bitdefender, NOD32. PC Tools Internet Security. Kaspersky i jeszcze kilka innych. Wypad następował z jednej przyczyny - " każdy z tych anty-wirów żądał co raz większej ilości miejsca do obsługi ".
Zess
(Wojas111)
11 Kwiecień 2011 18:30
#20
Wielkie dzięki
Myślę że Comodo będzie dobry.
Komputer chodzi sprawnie, myślę że te pół roku jeszcze uciągnie.
Pozdrawiam, Zess.