My Security Shield

[Krimson]

Witam, otóż mam problem z tym wirusem. Starałem się poradzić z nim na własną rekę za pomocą tej strony:

http://www.bleepingcomputer.com/virus-removal/remove-my-security-shield

Jednakże problem dalej wystepuje.

Załączam logi.

Extras.Txt

OTL.Txt

gmer.txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Documents and Settings\Pawelek\Local Settings\Application Data\lyleishf.exe
C:\Documents and Settings\Pawelek\Local Settings\Application Data\tcrfemyj.exe
C:\Program Files\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\systom32\svchost.exe -- (RasAuto)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\phra.sys -- (ypxtj)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Pawelek\LOCALS~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
IE - HKCU\..\URLSearchHook: {cc376ed9-9e09-4b39-bad5-083d151eaa86} - No CLSID value found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
O2 - BHO: (no name) - {1B169632-4FA6-4BE0-B980-460B5BF7FD08} - No CLSID value found.
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {093B3D46-0F87-44CF-B44B-79537F1597E5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [NIS] "C:\Program Files\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\A5E82D02\17.5.0.127\InstStub.exe" /RELAUNCH /RUNONCE /PRODID NIS File not found
O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found
O4 - HKCU..\Run: [FlashGet 3] "C:\Program Files\FlashGet Network\FlashGet 3\FlashGet3.exe" -minimize File not found
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przejdź w panel usuwania programó i odinstaluj zbędną wtyczkę vShare.tv plugin 1.3

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[Krimson]

Witam,

Dziekuje za pomoc. Gdy wróce do domu, wykonam powyższe polecenia. Jednak dana infekcja wystepuje również na notebooku. Starałem się zrobić wymagane logi z ottla i gmera, ale obydwa programy się zawieszają. Jakieś rady?

 

Pozdrawiam

[Landuss]

Jednak dana infekcja wystepuje również na notebooku. Starałem się zrobić wymagane logi z ottla i gmera, ale obydwa programy się zawieszają. Jakieś rady?

 

Spróbuj zrobić logi z trybu awaryjnego. Ale notebookiem się zajmij później jak już skończymy z obecnym komputerem żeby się nie pomieszało.

[Krimson]

Postaram się tak zrobić, jednak w międzyczasie udało mi się zrobić logi z dds.

http://wklej.org/id/710213/

http://wklej.org/id/710214/

[Krimson]

Dodaje wymagane logi:

ADW

http://wklej.org/id/710332/

 

Pozdrawiam

OTL.Txt

[Landuss]

Użyj tym razem opcji Delete w AdwCleaner. Nastepnie wykonaj z niego nowy log z opcji Search i zaprezentuj.

[Krimson]

Nowy log:

http://wklej.org/id/710372/

 

Pozdrawiam

[Landuss]

Wszystko zostało wykonane i problem powinien zniknąć. Parę rzeczy na koniec:

 

1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner.

 

2. Masz system nieaktualny, odcięty od ważnych aktualizacji MS. Koniecznie zaktualizuj system do Service Pack 3 oraz poniższe programy do najnowszych wersji:

 

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 6.0.2900.2180)

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24

"Adobe Acrobat 5.0" = Adobe Acrobat 5.0

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

3. Opróżnij folder przywracania systemu: KLIK

 

 

Teraz można się brać za notebooka. Jeśli chodzi o logi, które zaprezentowałeś to widzę, że OTL oraz Gmer chcesz uruchamiać przy aktywnym Malwarebytes i prawdopodobnie dlatego nie możesz wykonać logów z tych narzędzi. Wyłącz całkiem ochronę i próbuj, jeśli nie pójdzie to tak jak już wspomniałem pozostaje tryb awaryjny.

[Krimson]

Ok wszystko zrobione, jutro postaram się dodać logi z notebooka.

 

Dzięki wielkie i pozdrawiam.

[Krimson]

Witam, zarzucam logi z notebooka. Z gmerem mam na razie problemy.

 

Pozdrawiam

Extras.Txt

OTL.Txt

[Krimson]

Dalej mam problemy z gmerem na notebooku. Co do stacjonarnego został ponownie zaatakowany.

 

http://wklej.org/id/714993/

Extras.Txt

OTL.Txt

[Landuss]

Stacjonarny ponownie zainfekowany mówisz no ale nadal nie została wykonana aktualizacja systemu do Service Pack 3 oraz IE do wersji 8. Na tak dziurawym systemie nie licz, że nie będziesz infekowany. A dopiero co napisałeś że wszystko wykonałeś ostatnio co jest nieprawdą.

 

Stacjonarny:

 

Wklej do OTL skrypt o takiej zawartości:

 

:Files
C:\Documents and Settings\Pawelek\Local Settings\Application Data\sgcjnwrxx.exe
 
:Commands
[emptytemp]

 

Nowe logi do wglądu.

 

 

Laptop:

 

1. Wklej do OTL następujący skrypt:

 

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Domino\AppData\Local\Temp\axdcipod.sys -- (axdcipod)
IE - HKLM\..\SearchScopes\{13E90A4D-BF9E-43A1-AC88-AB9F350898D4}: "URL" = http: //www.ask.com/web?q={searchterms}&l=dis&o=ushpl
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKCU\..\SearchScopes\{13E90A4D-BF9E-43A1-AC88-AB9F350898D4}: "URL" = http: //www.ask.com/web?q={searchterms}&l=dis&o=ushpl
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-03-16 04:49:52 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Domino\AppData\Roaming\Mozilla\Firefox\Profiles\vozotahh.default\extensions\vshare@toolbar
[2011-03-05 02:46:48 | 000,002,055 | ---- | M] () -- C:\Users\Domino\AppData\Roaming\Mozilla\Firefox\Profiles\vozotahh.default\searchplugins\daemon-search.xml
[2011-06-13 15:15:32 | 000,001,583 | ---- | M] () -- C:\Users\Domino\AppData\Roaming\Mozilla\Firefox\Profiles\vozotahh.default\searchplugins\web-search.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKCU..\Run: []  File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt i zatwiedź restart.

 

2. Przejdź w panel usuwania programów i odinstaluj wtyczkę wątpliwej reputacji - vShare Plugin

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[Krimson]

Notebook:

 

OTL:

 

http://wklej.org/id/715769/

 

ADW:

 

http://wklej.org/id/715770/

 

Pozdrawiam

[Landuss]

Jest w porządku. Do wykonania czynności końcowe:

 

1. Użyj opcji Sprzątanie z OTL oraz Delete z AdwCleaner.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system instalując Service Pack 1

[Krimson]

Ok. To nowe logi z stacjonarnego:

 

OTL:

http://wklej.org/id/716588/

 

GMER:

 

http://wklej.org/id/716592/

[Landuss]

Teraz jest czysto a więc Sprzątanie z OTL. Widze, że między czasie wykonałeś aktualizację systemu oraz IE i bardzo dobrze bo to jest ważne.

 

Czy jest tu jeszcze jakiś problem?

[Krimson]

Nie, jak na razie nic mi nie wyskakiwało. Bardzo dziękuje za pomoc Landuss, była nieoceniona.

 

Pozdrawiam