Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

PSWOnlineGames na modemie

ZetBeGie

Przez ZetBeGie
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ZetBeGie

ZetBeGie

Opublikowano
Opublikowano

System Windows 7 64 bitówka.

 

Witam. Mam od dziś problem(tzn dziś go zauważyłem) komputer znacząco zwolnił, przy uruchamianej tej samej liczbie aplikacji. Postanowiłem zeskanować AVG i wykrył 3 zainfekowane pliki trojanem PSW onlineGames. Wszystkie trzy znajdują się na modemie od internetu mobilnego z orange, więc AVG ich usunąć nie mogę. Jako pierwszy zrobiłem niestety skan combofixem, dopiero później trafiłem do was i wykonałem wasze zalecane skany. Poniżej je załączam.

 

Gmer: http://wklej.org/id/855438/

Combofix : http://wklej.org/id/855440/

OTL: http://wklej.org/id/855444/

OTL(extras):http://wklej.org/id/855443/

Security Check: http://wklej.org/id/855446/

 

Czekam na instrukcje co dalej.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Mam od dziś problem(tzn dziś go zauważyłem) komputer znacząco zwolnił, przy uruchamianej tej samej liczbie aplikacji.

 

Podejrzany: AVG, o ile był przed podjęciem się skanu.

 

 

Jako pierwszy zrobiłem niestety skan combofixem, dopiero później trafiłem do was i wykonałem wasze zalecane skany.

 

Jego uruchomienie nie przyniosło pożytku. Zasadne usunięcie odpadkowych folderów DealPly i StartSearch plugin (to adware) + instalatora adware WhenUUninst.exe. ComboFix wyciął za to cały folder League of Legends, co wygląda na pomyłkę:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
 
c:\program files (x86)\lol
c:\program files (x86)\lol\League of Legends\0x0409.ini
c:\program files (x86)\lol\League of Legends\0x0415.ini
c:\program files (x86)\lol\League of Legends\0x0418.ini
c:\program files (x86)\lol\League of Legends\data1.cab
c:\program files (x86)\lol\League of Legends\data1.hdr
c:\program files (x86)\lol\League of Legends\data2.cab
c:\program files (x86)\lol\League of Legends\ISSetup.dll
c:\program files (x86)\lol\League of Legends\layout.bin
c:\program files (x86)\lol\League of Legends\setup.exe
c:\program files (x86)\lol\League of Legends\setup.ini
c:\program files (x86)\lol\League of Legends\setup.inx
c:\program files (x86)\lol\League of Legends\setup.isn

 

 

Postanowiłem zeskanować AVG i wykrył 3 zainfekowane pliki trojanem PSW onlineGames. Wszystkie trzy znajdują się na modemie od internetu mobilnego z orange, więc AVG ich usunąć nie mogę.

 

Pokaż mi te wyniki, bo mam podejrzenie, że to fałszywy alarm na plikach autorun.inf + exe oprogramowania modemu ... Dla porównania: KLIK. W Twoim logu wszystkie pliki dysku mapowanego jako F (wygląda na nośnik oprogramowania modemu) są OK:

 

PRC - [2009/11/19 14:29:56 | 001,121,280 | R--- | M] () -- F:\usbgo_proxy.exe
PRC - [2009/11/19 14:29:54 | 000,985,600 | R--- | M] (Option nv) -- F:\uCAN.exe
 
O32 - AutoRun File - [1980/10/11 15:37:00 | 000,000,071 | R--- | M] () - F:\Autorun.inf -- [ CDFS ]

 

 

W raportach brak oznak infekcji. Jest tylko drobne adware, lecz to podrzędna sprawa i nie związana zupełnie ze zgłaszanym problemem. Doczyść oczywiście:

 

1. Przez Panel sterowania odinstaluj BabylonObjectInstaller, Internet Explorer Toolbar 4.6 by SweetPacks.

 

2. W Google Chrome są szczątkowe wtyczki SweetIM:

 

========== Chrome  ==========
 
CHR - plugin: SweetIM GC Helper (Enabled) = C:\Users\mm\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.0.0.1_0\mgHelperGC.dll
CHR - plugin: SweetIM GC Helper (Enabled) = C:\Users\mm\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\mgHelperGCFB.dll

 

Zamknij Google Chrome (nie może być uruchomione). Otwórz w Notatniku plik:

 

C:\Users\mm\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj w nim dwa bloki wtyczek SweetIM GC Helper i usuń. Dla porównania tu punkt 3, tylko nazwy wtyczek inne: KLIK.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.37010003&st=12&q={searchTerms}&barid={9F3867F3-72F7-4A0A-ACEB-78FC9D920776}"
IE - HKU\S-1-5-21-740993835-4169564839-403976912-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=09aaeb1f-6024-11e1-b971-00f1d000f1d0&q={searchTerms}"
IE - HKU\S-1-5-21-740993835-4169564839-403976912-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=74dfed8e00000000000000f1d000f1d0"
IE - HKU\S-1-5-21-740993835-4169564839-403976912-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF"
IE - HKU\S-1-5-21-740993835-4169564839-403976912-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.37010003&st=12&q={searchTerms}&barid={9F3867F3-72F7-4A0A-ACEB-78FC9D920776}"
[2012/05/20 18:24:29 | 000,000,000 | ---D | M] -- C:\Users\mm\AppData\Roaming\Babylon
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{D08DCAF3-AAD8-4483-B4C5-1EFCC6F28F15}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{D08DCAF3-AAD8-4483-B4C5-1EFCC6F28F15}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Przedstaw log z przetwarzania skryptu.

 

 

.

Odnośnik do komentarza
ZetBeGie

ZetBeGie

Opublikowano
  • Autor
Opublikowano

Co miałem usunąć usunąłem, skrypt wykonałem(link poniżej).

http://wklej.org/id/855940/

 

 

Tutaj natomiast tak wyswietla mi te wirusy po skanowaniu,i faktem jest, że wystepuja problemy z uruchomieniem internetu często, bądź oprogramowania do niego.

 

 

"F:\uCANGraficRes.dll:\uCANGraficRes.dll";"Koń trojański PSW.OnlineGames.P"

"F:\uCANGraficRes.dll";"Koń trojański PSW.OnlineGames.P.dropper"

"F:\uCAN.exe (2160)";"Koń trojański PSW.OnlineGames.P.dropper"

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt pomylnie wykonany. Zakończ już te sprawy: w OTL uruchom Sprzątanie + wyczyść foldery Przywracania systemu (KLIK).

 

 

Tutaj natomiast tak wyswietla mi te wirusy po skanowaniu,i faktem jest, że wystepuja problemy z uruchomieniem internetu często, bądź oprogramowania do niego.

 

To są fałszywe alarmy. Wykonywalny uCAN.exe oraz biblioteka uCANGraficRes.dll to są pliki oprogramowania modemu.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...