Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Advanced Search

Search our partners

Find the latest content on electronic components. Datasheets.com
Datasheets
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Disk Anyvirus Professional - prośba o usunięcie

Andyele 14 Mar 2013 09:43 1305 7
Lock | New topic
  • #1
    Andyele
    Level 9  
    Witam

    Wczoraj został zainfekowany mój komputer wirusem Disk Antyvirus Professional - nie wiem z jakie strony mogłem go pobrać gdyż miałem otwarte 3 okna. Strony przeglądane były znanymi mi stronami na które często wchodzę.

    Mam Windowsa XP i jak przeczytałem w podobnych tematach ściągnąłem program OTL na innym komputerze, komputer z wirusem uruchomiłem w trybie awaryjnym i po uruchomieniu OTL otrzymałem dwa raporty:

    OTL.txt - http://wklej.org/id/981283/

    Extras.txt - http://wklej.org/id/981288/

    Uprzejmie proszę o pomoc
  • #2
    Zeus__
    Level 21  
    Własne opcje skanowania i wklej:
    Code: 

    :OTL

    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)

    DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vbtenum.sys -- (BTHidEnum)

    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)

    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)

    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)

    IE - HKLM\..\SearchScopes\{0947FE60-581A-442F-911C-CB7583BD3A0C}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

    O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.

    O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)

    

    

    :reg

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

    "Start Page"="about:blank"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

    "Start Page"="about:blank"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

    "5985:TCP"=-

    "80:TCP"=-

    :FILES

    C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

    C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

    

    :COMMANDS

    [resethosts]

    [emptytemp]

    i wykonaj następnie skanowanie malwerbytes antymalware pełne i dr.Web cure it szybkie, użyj jeszcze adwcleaner opcji DELETE i zamieść raporty wynikowe OTL mbam, dr.web i adwcleaner
  • #3
    Acorus 20
    Level 43  
    Logi muszą być z zarażonego konta.
  • #4
    Andyele
    Level 9  
    A no tak w trybie awaryjnym znalazłem się jako administrator a nie jako urzytkownik z wirusem.

    Teraz podaję plik OTL.txt z trybu awaryjnego konto zawirusowanego użytkownika

    http://wklej.org/id/981359/
  • #5
    Zeus__
    Level 21  
    Własne opcje skanowania i wklej:
    Code: 

    :OTL

    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=d9ce106a-c926-11e1-963d-0014a5dba53a&q={searchTerms}

    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091

    FF - prefs.js..browser.search.defaultenginename: "Web Search"

    FF - prefs.js..browser.search.order.1: "Web Search"

    FF - prefs.js..browser.search.useDBForOrder: true

    FF - prefs.js..browser.startup.homepage: "http://www.google.pl/"

    FF - prefs.js..extensions.enabledAddons: IplextoALL%40ALLPlayer.org:0.7.0

    FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="

    O4 - HKCU..\Run: []  File not found

    O4 - HKCU..\RunOnce: [8C386CA26E8E6F3B00008C37E06E7320] C:\Documents and Settings\All Users\Dane aplikacji\8C386CA26E8E6F3B00008C37E06E7320\8C386CA26E8E6F3B00008C37E06E7320.exe ()

    O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    @Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DE406C3E

    

    :FILES

    C:\Documents and Settings\anluc\Dane aplikacji\Mozilla\Firefox\Profiles\ohlqwhrv.default\searchplugins\sweetim.xml

    C:\Documents and Settings\anluc\Dane aplikacji\Mozilla\Firefox\Profiles\ohlqwhrv.default\extensions\IplextoALL@ALLPlayer.org.xpi

    C:\Documents and Settings\All Users\Dane aplikacji\8C386CA26E8E6F3B00008C37E06E7320

    C:\Documents and Settings\anluc\Menu Start\Programy\Disk Antivirus Professional

    C:\WINDOWS\$968930Uinstall_KB968930$

    

    :COMMANDS

    [emptytemp]

    w wykonaj, następnie zresetuj ustawienia firefox-a, jeśli nie pomoże odinstaluj i zainstaluj go jeszcze raz ale nie zapomnij wykonać backupu swoich ustawień jeśli masz takowe ważne dla siebie czy zakładki itp użyj również adwcleaner opcja DELETE i przeskanuj mbam idr.web
  • #6
    Andyele
    Level 9  
    Serdecznie dziękuję po zastosowaniu się do wskazówek (pozostało mi jeszcze skanowanie Dr.Web) udało mi się usunąć wirusa.

    Mam jeszcze kilka pytań;

    1. Dlaczego Microsoft Forefront Endpoint protection nie zadziałał?
    2. Czy po zakończeniu trialu mbam warto zakupić licencję?
    3. Co daje utworzenie skryptu w OTL?
    4. I z innej beczki - komputer z którego korzystam jest komputerem służbowym jednak wyjechałem na delegację i nie mogłem przekazać go do działu IT. Informatyk łaczył się z innym kontem na moim komputerze poprzez program Teamviewer. Za pomocą tego programu możne zakończyć pracę w trybie normalnym i przejść do trybu awaryjnego - wtedy okno logowania do trybu awaryjnego poza loginem i hasłem oferuje jeszcze możliwość "zaloguj do" podczas gdy używa się F8 aby wejść do trybu awaryjnego okno logowania ma tylko login i hasło. I teraz pytanie jak można jeszcze uzyskać okno logowania do trybu awaryjnego z opcją zaloguj do?

    P.S.
    Postaram odnaleźć pytania na które będę mógł odpowiedzieć i pomóc komuś tak jak mi udzielono pomocy.

    Pozdrawiam
  • #7
    Zeus__
    Level 21  
    Co do odpowiedzi na te pytania to odpowiem krótko:
    1) nie każda infekcja jest wykrywana przez konkretne narzędzie, to od specyfiki działania infekcji zależy szukanie narzędzia do usunięcia.
    2) Na pewno warto jest to dobry program usuwający malware ale pragnę podkreślić że nie trzeba go traktować jako narzędzie na wszystkie bolączki systemu.
    3) Dzięki temu programowi można dowiedzieć się więcej na temat specyfiki działania systemu, i rozpoznania w nim programów oraz infekcji

    Proszę przeprowadzić to skanowanie dr. web cure it jest ono bardzo ważne, jeśli coś znajdzie proszę wyleczyć bądź alternatywnie usunąć

    Pozostał jeszcze ostatni krok poprawnie odinstalować OTL
    Klikamy w Sprzątanie i zgadzamy się na ponowny restart, i program zostanie poprawnie odinstalowany
  • #8
    Andyele
    Level 9  
    Dziękuję

    sprawa załatwiona problem nie powraca.
Lock | New topic