Goldi90
(Michalrusz)
15 Sierpień 2010 09:03
#1
Witam,
czy mogę usunąć te “zbędne” wirusy, nie uszkadzając systemu?
Log z OTL
http://www.wklejto.pl/74511
Log z HijackThis
http://www.wklejto.pl/74512
Pozdrawiam
Lukasz6
(Łukasz)
15 Sierpień 2010 09:05
#2
HJT od dawna się nie używa daje krótkie i nie szczegółowe logi, po za tym infekcje nauczyły się ukrywać i ich nie wykryje.
Daj log z GMERA z zakładki Rootkit/Malware
http://www.dobreprogramy.pl/Gmer,Progra … 13252.html
ale najpierw usuń wszystkie programy tworzące wirtualne napędy i uruchom program SPTD :
http://www.duplexsecure.com/downloads/
pobierasz plik , SPTDinst-v169-x86.exez " i uruchamiasz, następnie w głównym oknie tegoż programu klikasz przycisk
, Uninstall "
W razie gdy ta opcja będzie nie aktywna ( aktywna będzie tylko , Install " ) to nic nie rób tylko zamknij okno i uruchom GMERA .
W OTL w dolne okienko , Własne opcje skanowania / skrypt " wklej:
:OTL IE - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\URLSearchHook: {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Program Files\Alawar.com \tbAlaw.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultenginename: “BearShare Web Search” FF - prefs.js…browser.search.order.1: “BearShare Web Search” FF - prefs.js…keyword.URL: “http://search.bearshare.com/web?src=ffb&q= ” [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () – C:\Documents and Settings\Root\Dane aplikacji\Mozilla\Firefox\Profiles\nyrkor99.default\searchplugins\BearShareWebSearch.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (Alawar.com Toolbar) - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Program Files\Alawar.com \tbAlaw.dll (Conduit Ltd.) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.) O3 - HKLM…\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Alawar.com Toolbar) - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Program Files\Alawar.com \tbAlaw.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Toolbar\WebBrowser: (Alawar.com Toolbar) - {511131F1-4629-4254-A85F-ED7B6D75DD3C} - C:\Program Files\Alawar.com \tbAlaw.dll (Conduit Ltd.) O4 - HKLM…\Run: [LCheck] C:\Program Files\Beniamin\LCheck.exe File not found O4 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Run: [kamsoft] C:\WINDOWS\System32\ckvo.exe File not found O4 - HKU\S-1-5-21-1417001333-1644491937-839522115-1003…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O4 - Startup: C:\Documents and Settings\Root\Menu Start\Programy\Autostart\sysupd32.exe () O8 - Extra context menu item: Funkcja Google Sidewiki - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O33 - MountPoints2{3123c694-8815-11de-a364-001d7dbf0dc7}\Shell\AutoRun\command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{3123c694-8815-11de-a364-001d7dbf0dc7}\Shell\explore\Command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{3123c694-8815-11de-a364-001d7dbf0dc7}\Shell\open\Command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{7484d0ca-af37-11dd-95b1-001d7dbf0dc7}\Shell\AutoRun\command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{7484d0ca-af37-11dd-95b1-001d7dbf0dc7}\Shell\explore\Command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{7484d0ca-af37-11dd-95b1-001d7dbf0dc7}\Shell\open\Command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{d97c9ad1-23ff-11dd-846f-001d7dbf0dc7}\Shell\AutoRun\command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{d97c9ad1-23ff-11dd-846f-001d7dbf0dc7}\Shell\explore\Command - “” = K:\xih9.cmd – File not found O33 - MountPoints2{d97c9ad1-23ff-11dd-846f-001d7dbf0dc7}\Shell\open\Command - “” = K:\xih9.cmd – File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found File not found – C:\Documents and Settings\Root\Pulpit\CAGBMR80. :Files C:\Program Files\Alawar.com C:\Program Files\Google\Google Toolbar C:\Program Files\DAEMON Tools Toolbar C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Alawar.com C:\Documents and Settings\Root\Ustawienia lokalne\Dane aplikacji\Conduit C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [clearallrestorepoints]
Kliknij : Wykonaj Skrypt, Zrestartuj komputer
Potem daj raport który wyskoczy po usuwaniu, oraz wykonaj nowy log OTLem
deFco247
(deFco247)
15 Sierpień 2010 09:33
#3
Będę powtarzał do znudzenia.
Zamiast tak bezładnie usuwać foldery tego typu toolbarów, lepiej jest je usuwać jak każdą normalną aplikację poprzez Dodaj/usuń programy.
Poza tym raport z NOD32 wskazuje na dosyć brutalną infekcję rootkitem TDLL. Wykonaj skan tym: http://support.kaspersky.com/pl/faq/?qid=208280681
Jeśli skaner coś znajdzie, to NIE usuwaj tego, tylko stosuj opcję leczenia. Dopiero po tym pokaż nowe logi OTL (OTL.txt + Extras.txt) oraz GMER (uprzednio usuwając emulatory napędów wirtualnych tak jak to wyżej opisano).
Goldi90
(Michalrusz)
15 Sierpień 2010 10:06
#4
log z OTL po wykonaniu powyższego skryptu (uruchomił sie ponownie komp. i wyświetlił się log)
http://www.wklejto.pl/74518
Log z OTL po ponownym uruchomieniu komputera
ttp://www.wklejto.pl/74519
SPTD: Uninstall był aktywny i wykonałem
Log z GMERA się wykonuje długo… ale czekam
Lukasz6
(Łukasz)
15 Sierpień 2010 12:35
#5
Log z OTL czysty
Wykonałeś skan tym programem ?
http://support.kaspersky.com/pl/faq/?qid=208280681
Jeśli skaner coś znajdzie, to NIE usuwaj tego, tylko stosuj opcję leczenia. Dopiero po tym pokaż nowe logi OTL (OTL.txt + Extras.txt) oraz GMER (uprzednio usuwając emulatory napędów wirtualnych tak jak to wyżej opisano).
Goldi90
(Michalrusz)
16 Sierpień 2010 10:47
#6
Witam,
Tym narzędziem zeskanowałem ale nic nie wykryło:
http://support.kaspersky.com/pl/faq/?qid=208280681
Wirtualne napędy usunąłem ale nie wszystkie (był utworzony jeden napęd w UltraISO i jeden w DeamonTools), a resztę nie mogę znaleźć…
Log z Gmer’a
http://www.wklejto.pl/74629
Log z OTL
ttp://www.wklejto.pl/74630
Log z OTL (Extras)
http://www.wklejto.pl/74631
– Dodane 17.08.2010 (Wt) 13:52 –
Prosze sprawdzić logi