Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Disk Anyvirus Professional - pro¶ba o usunięcie

Andyele 14 Mar 2013 09:43 1305 7
  • #1
    Andyele
    Level 9  
    Witam

    Wczoraj został zainfekowany mój komputer wirusem Disk Antyvirus Professional - nie wiem z jakie strony mogłem go pobrać gdyż miałem otwarte 3 okna. Strony przegl±dane były znanymi mi stronami na które często wchodzę.

    Mam Windowsa XP i jak przeczytałem w podobnych tematach ¶ci±gn±łem program OTL na innym komputerze, komputer z wirusem uruchomiłem w trybie awaryjnym i po uruchomieniu OTL otrzymałem dwa raporty:

    OTL.txt - http://wklej.org/id/981283/

    Extras.txt - http://wklej.org/id/981288/

    Uprzejmie proszę o pomoc
  • #2
    Zeus__
    Level 21  
    Własne opcje skanowania i wklej:
    Code:

    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
    DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vbtenum.sys -- (BTHidEnum)
    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
    IE - HKLM\..\SearchScopes\{0947FE60-581A-442F-911C-CB7583BD3A0C}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
    O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)


    :reg
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="about:blank"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
    "Start Page"="about:blank"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
    "5985:TCP"=-
    "80:TCP"=-
    :FILES
    C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
    C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

    :COMMANDS
    [resethosts]
    [emptytemp]

    i wykonaj następnie skanowanie malwerbytes antymalware pełne i dr.Web cure it szybkie, użyj jeszcze adwcleaner opcji DELETE i zamie¶ć raporty wynikowe OTL mbam, dr.web i adwcleaner
  • #3
    Acorus 20
    Level 43  
    Logi musz± być z zarażonego konta.
  • #4
    Andyele
    Level 9  
    A no tak w trybie awaryjnym znalazłem się jako administrator a nie jako urzytkownik z wirusem.

    Teraz podaję plik OTL.txt z trybu awaryjnego konto zawirusowanego użytkownika

    http://wklej.org/id/981359/
  • #5
    Zeus__
    Level 21  
    Własne opcje skanowania i wklej:
    Code:

    :OTL
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=d9ce106a-c926-11e1-963d-0014a5dba53a&q={searchTerms}
    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
    FF - prefs.js..browser.search.defaultenginename: "Web Search"
    FF - prefs.js..browser.search.order.1: "Web Search"
    FF - prefs.js..browser.search.useDBForOrder: true
    FF - prefs.js..browser.startup.homepage: "http://www.google.pl/"
    FF - prefs.js..extensions.enabledAddons: IplextoALL%40ALLPlayer.org:0.7.0
    FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="
    O4 - HKCU..\Run: []  File not found
    O4 - HKCU..\RunOnce: [8C386CA26E8E6F3B00008C37E06E7320] C:\Documents and Settings\All Users\Dane aplikacji\8C386CA26E8E6F3B00008C37E06E7320\8C386CA26E8E6F3B00008C37E06E7320.exe ()
    O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    @Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DE406C3E

    :FILES
    C:\Documents and Settings\anluc\Dane aplikacji\Mozilla\Firefox\Profiles\ohlqwhrv.default\searchplugins\sweetim.xml
    C:\Documents and Settings\anluc\Dane aplikacji\Mozilla\Firefox\Profiles\ohlqwhrv.default\extensions\IplextoALL@ALLPlayer.org.xpi
    C:\Documents and Settings\All Users\Dane aplikacji\8C386CA26E8E6F3B00008C37E06E7320
    C:\Documents and Settings\anluc\Menu Start\Programy\Disk Antivirus Professional
    C:\WINDOWS\$968930Uinstall_KB968930$

    :COMMANDS
    [emptytemp]

    w wykonaj, następnie zresetuj ustawienia firefox-a, je¶li nie pomoże odinstaluj i zainstaluj go jeszcze raz ale nie zapomnij wykonać backupu swoich ustawień je¶li masz takowe ważne dla siebie czy zakładki itp użyj również adwcleaner opcja DELETE i przeskanuj mbam idr.web
  • #6
    Andyele
    Level 9  
    Serdecznie dziękuję po zastosowaniu się do wskazówek (pozostało mi jeszcze skanowanie Dr.Web) udało mi się usun±ć wirusa.

    Mam jeszcze kilka pytań;

    1. Dlaczego Microsoft Forefront Endpoint protection nie zadziałał?
    2. Czy po zakończeniu trialu mbam warto zakupić licencję?
    3. Co daje utworzenie skryptu w OTL?
    4. I z innej beczki - komputer z którego korzystam jest komputerem służbowym jednak wyjechałem na delegację i nie mogłem przekazać go do działu IT. Informatyk łaczył się z innym kontem na moim komputerze poprzez program Teamviewer. Za pomoc± tego programu możne zakończyć pracę w trybie normalnym i przej¶ć do trybu awaryjnego - wtedy okno logowania do trybu awaryjnego poza loginem i hasłem oferuje jeszcze możliwo¶ć "zaloguj do" podczas gdy używa się F8 aby wej¶ć do trybu awaryjnego okno logowania ma tylko login i hasło. I teraz pytanie jak można jeszcze uzyskać okno logowania do trybu awaryjnego z opcj± zaloguj do?

    P.S.
    Postaram odnaleĽć pytania na które będę mógł odpowiedzieć i pomóc komu¶ tak jak mi udzielono pomocy.

    Pozdrawiam
  • #7
    Zeus__
    Level 21  
    Co do odpowiedzi na te pytania to odpowiem krótko:
    1) nie każda infekcja jest wykrywana przez konkretne narzędzie, to od specyfiki działania infekcji zależy szukanie narzędzia do usunięcia.
    2) Na pewno warto jest to dobry program usuwaj±cy malware ale pragnę podkre¶lić że nie trzeba go traktować jako narzędzie na wszystkie bol±czki systemu.
    3) Dzięki temu programowi można dowiedzieć się więcej na temat specyfiki działania systemu, i rozpoznania w nim programów oraz infekcji

    Proszę przeprowadzić to skanowanie dr. web cure it jest ono bardzo ważne, je¶li co¶ znajdzie proszę wyleczyć b±dĽ alternatywnie usun±ć

    Pozostał jeszcze ostatni krok poprawnie odinstalować OTL
    Klikamy w Sprz±tanie i zgadzamy się na ponowny restart, i program zostanie poprawnie odinstalowany
  • #8
    Andyele
    Level 9  
    Dziękuję

    sprawa załatwiona problem nie powraca.