bogus466 Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 Witam serdecznie. Już raz, nie tak dawno tworzyłem wątek na temat Live Security Platinum, który powstał na laptopie kolegi. Teraz zaatakował mój komputer, więc przychodzę do "sprawdzonego źródła" po pomoc. Przeglądałem internet i dostałem nagle komunikat o wirusie i po chwili nastąpiło to co stac się nie powinno. Live Security Platinum. Poniżej umieszczam logi. Chciałbym również zapytac czy jest możliwośc uchronienia się przed tego typu wirusami? Pozdrawiam, Mateusz. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2012 Zgłoś Udostępnij Opublikowano 12 Września 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledAddons: {b8004ac6-6255-abaa-1043-7c577e2bb8e7}:4.6.8.7 FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.5.3&q=" IE - HKU\S-1-5-21-1993962763-583907252-839522115-1004\..\URLSearchHook: - No CLSID value found O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found O4 - HKU\S-1-5-21-1993962763-583907252-839522115-1004..\Run: [CubeDesktop] File not found O4 - HKU\S-1-5-21-1993962763-583907252-839522115-1004..\Run: [full_akl.exe2] \full_akl.exe File not found O4 - HKU\S-1-5-21-1993962763-583907252-839522115-1004..\Run: [MSIDLL] C:\WINDOWS\System32\msiutk32.dll () O4 - HKU\S-1-5-21-1993962763-583907252-839522115-1004..\RunOnce: [036DFF98539D80D402668A9D81CB3F95] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\036DFF98539D80D402668A9D81CB3F95\036DFF98539D80D402668A9D81CB3F95.exe () DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\036DFF98539D80D402668A9D81CB3F95 C:\Documents and Settings\To mój komputer\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\To mój komputer\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\6ab494b7752538485e57426f33abd6bd_c C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mtbjfghn.xbe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer C:\Documents and Settings\To mój komputer\Dane aplikacji\Toolbar4 C:\Documents and Settings\To mój komputer\Dane aplikacji\ICQ Search C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin*.xml C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\startsear.xml C:\Program Files\Mozilla Firefox\extensions\{b8004ac6-6255-abaa-1043-7c577e2bb8e7} C:\WINDOWS\SFDLL.DLL C:\WINDOWS\klog.dat :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Odinstaluj adware / śmieci: - Otwórz Firefox i w Dodatkach odinstaluj: FileBulldog DB Toolbar, ICQ Toolbar, QuestBasic, Yontoo. - Otwórz Google Chrome i w Rozszerzeniach odinstaluj: Yontoo. - Przez Dodaj / Usuń programy: 184566.zip, 184604.zip, Contextual Tool Extrafind, FileBulldog DB Toolbar, QuestBasic 1.0 build 117, Yontoo 1.10.02. I czy Ardamax Keylogger 3.9 był instalowany celowo? 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
bogus466 Opublikowano 12 Września 2012 Autor Zgłoś Udostępnij Opublikowano 12 Września 2012 Wszystko zrobiłem jak kazano. Logi zamieszczam poniżej. Co do Ardmax Keylogger 3.9, tak celowo był wgrywany - lubię mieć pewność, że nie korzystano z mojego komputera w niewiadomych celach. Co do pliku z OTL(ten pierwszy).. nie mogłem wysłać go jako pliku ("Nie masz uprawnień do wysyłania tego typu plików"), więc umieszczam go poniżej: All processes killed ========== OTL ========== Prefs.js: "Web Search" removed from browser.search.defaultengine Prefs.js: "Web Search" removed from browser.search.defaultenginename Prefs.js: "Web Search" removed from browser.search.order.1 Prefs.js: {b8004ac6-6255-abaa-1043-7c577e2bb8e7}:4.6.8.7 removed from extensions.enabledAddons Prefs.js: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.5.3&q=" removed from keyword.URL Registry value HKEY_USERS\S-1-5-21-1993962763-583907252-839522115-1004\Software\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BEWINTERNET-PLSessionManager deleted successfully. Registry value HKEY_USERS\S-1-5-21-1993962763-583907252-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\CubeDesktop deleted successfully. Registry value HKEY_USERS\S-1-5-21-1993962763-583907252-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\full_akl.exe2 deleted successfully. Registry value HKEY_USERS\S-1-5-21-1993962763-583907252-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\MSIDLL deleted successfully. C:\WINDOWS\system32\msiutk32.dll moved successfully. Registry value HKEY_USERS\S-1-5-21-1993962763-583907252-839522115-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\036DFF98539D80D402668A9D81CB3F95 deleted successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\036DFF98539D80D402668A9D81CB3F95\036DFF98539D80D402668A9D81CB3F95.exe moved successfully. Service VBoxNetFlt stopped successfully! Service VBoxNetFlt deleted successfully! File system32\DRIVERS\VBoxNetFlt.sys not found. ========== FILES ========== C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\036DFF98539D80D402668A9D81CB3F95 folder moved successfully. C:\Documents and Settings\To mój komputer\Menu Start\Programy\Live Security Platinum folder moved successfully. C:\Documents and Settings\To mój komputer\Pulpit\Live Security Platinum.lnk moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\6ab494b7752538485e57426f33abd6bd_c moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mtbjfghn.xbe moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\boost_interprocess\F0981FF0F10FCD01 folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\boost_interprocess folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Cache folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Cache folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} folder moved successfully. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\include_files folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\cache folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E} folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Toolbar4 folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\ICQ Search folder moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-1.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-2.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-3.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-4.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-5.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin-6.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin.xml moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\startsear.xml moved successfully. C:\Program Files\Mozilla Firefox\extensions\{b8004ac6-6255-abaa-1043-7c577e2bb8e7}\components folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\{b8004ac6-6255-abaa-1043-7c577e2bb8e7}\chrome folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\{b8004ac6-6255-abaa-1043-7c577e2bb8e7} folder moved successfully. C:\WINDOWS\SFDLL.DLL moved successfully. C:\WINDOWS\klog.dat moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService.ZARZĄDZANIE NT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1119543 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService.ZARZĄDZANIE NT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: To mój komputer ->Temp folder emptied: 1603940940 bytes ->Temporary Internet Files folder emptied: 44274613 bytes ->FireFox cache emptied: 458265376 bytes ->Google Chrome cache emptied: 258412026 bytes ->Flash cache emptied: 25775281 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2349430 bytes %systemroot%\System32 .tmp files removed: 4483668 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 12802014 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2 300,00 mb OTL by OldTimer - Version 3.2.61.3 log created on 09122012_201906 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Pozdrawiam. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Wymagane poprawki. 1. Uruchom Firefox i w pasku adresów wpisz about:config. Wyszukaj keyword.URL i z prawokliku zresetuj do poziomu domyślnego. 2. W Google Chrome ostała się wtyczka LiveVDO: ========== Chrome ========== CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll Jej usunięcie wymaga akcji podobnej do tej w punkcie 3: KLIK. Oczywiście tu jest inna nazwa wtyczki, a plik na XP do edycji to: C:\Documents and Settings\To mój komputer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences 3. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin.* C:\Program Files\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "{338B4DFE-2E2C-4338-9E41-E176D497299E}"=- "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Services cportclm Klik w Wykonaj skrypt. Tym razem nie będzie restartu, a do oceny wystarczy tylko log z wynikami usuwania. Log krótki = wklej wprost do posta. Co do pliku z OTL(ten pierwszy).. nie mogłem wysłać go jako pliku ("Nie masz uprawnień do wysyłania tego typu plików") Objaśniają to zasady działu + Pomoc forum (link na spodzie strony). załączniki akceptują tylko rozszerzenie *.TXT, a tu jest *.LOG. na przyszłość: wystarczy zmiana nazwy pliku. . Odnośnik do komentarza
bogus466 Opublikowano 16 Września 2012 Autor Zgłoś Udostępnij Opublikowano 16 Września 2012 Witam. Z Chromem miałem mały problem. A konkretniej, folder Chrome w Google nie istniał. Na wszelki wypadek po prostu go całego usunąłem (Program Google Chrome). ========== FILES ========== C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin.gif moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin.src moved successfully. C:\Documents and Settings\To mój komputer\Dane aplikacji\Mozilla\Firefox\Profiles\37w0ma7m.default\searchplugins\icqplugin.xml moved successfully. C:\Program Files\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6}\defaults\preferences folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6}\defaults folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6}\chrome folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6} folder moved successfully. ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{338B4DFE-2E2C-4338-9E41-E176D497299E} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{338B4DFE-2E2C-4338-9E41-E176D497299E}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== SERVICES/DRIVERS ========== Service cportclm stopped successfully! Service cportclm deleted successfully! OTL by OldTimer - Version 3.2.61.3 log created on 09162012_142219 Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 A konkretniej, folder Chrome w Google nie istniał. Na wszelki wypadek po prostu go całego usunąłem (Program Google Chrome). Wg OTL istniał. OTL nie mógłby pobrać informacji o przeglądarce, gdyby go nie było. Czy na pewno miałeś włączone wszystkie opcje widoku (zaznaczone Pokaż ukryte pliki i foldery + odptaszkowane Ukryj chronione pliki systemu operacyjnego)? . Odnośnik do komentarza
bogus466 Opublikowano 16 Września 2012 Autor Zgłoś Udostępnij Opublikowano 16 Września 2012 Tak wszystko było włączone. Wyszukiwałem ręcznie oraz przez opcję wyszukaj. Bez skutku. Ale usunęło normalnie, więc musiałem go jakimś cudem przeoczyć. Rozumiem, że reszta więcej błędów nie ma? Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 18 Września 2012 Zgłoś Udostępnij Opublikowano 18 Września 2012 Na zakończenie: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej aplikacje. Szczegóły: KLIK. Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217001F0}" = Java 7 Update 1"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Spyware Doctor" = Spyware Doctor 6.0 PS. Gadu-Gadu 10 też sugeruję wymienić czymś lżejszym. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi