Wirus xp home security

**Posty:** 20 · przez **mietek158** 16 Maj 2011, 16:30

Mam wirusa xp home security mozecie mi pomóc go usunąć bo avast nie daje rady.
http://wklej.org/id/530399/ otl
http://wklej.org/id/530400/ extras
gmer robi sie od godziny jak bedzie to wkleje.
Dobrze by było jakby ktoś szybko pomógł bo nie wiem czy znowu uda mi się włączyć internet.
Już się zrobił gmer http://wklej.org/id/530486/ .

**Posty:** 18165 · przez **wojtas** 16 Maj 2011, 16:50

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "chrome://browser-region/locale/region.properties"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
[2011-02-12 20:27:51 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\d1fwdmic.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2010-09-14 21:35:54 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\d1fwdmic.default\extensions\vshare@toolbar
[2011-02-04 14:44:49 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\d1fwdmic.default\searchplugins\conduit.xml
[2011-02-12 20:27:48 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\d1fwdmic.default\searchplugins\sweetim.xml
2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
O3 - HKU\S-1-5-21-299502267-220523388-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-299502267-220523388-1801674531-1003..\Run: [chxul] File not found
O4 - HKU\S-1-5-21-299502267-220523388-1801674531-1003..\Run: [EXPLORER.EXE] C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-299502267-220523388-1801674531-1003..\Run: [wsctf.exe] File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O33 - MountPoints2\{1895913a-6739-11df-9d96-000e50879456}\Shell\AutoRun\command - "" = I:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{1895913a-6739-11df-9d96-000e50879456}\Shell\open\command - "" = I:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{4ba4fb51-9347-11df-9dfe-000e50879456}\Shell\AutoRun\command - "" = RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{4ba4fb51-9347-11df-9dfe-000e50879456}\Shell\open\command - "" = RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{4ba4fb52-9347-11df-9dfe-000e50879456}\Shell\AutoRun\command - "" = J:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{4ba4fb52-9347-11df-9dfe-000e50879456}\Shell\open\command - "" = J:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{5927daf2-489a-11e0-9f70-000e50879456}\Shell - "" = AutoRun
O33 - MountPoints2\{5927daf2-489a-11e0-9f70-000e50879456}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL chxUL.exe
O33 - MountPoints2\{a3117edc-910a-11df-9df6-000e50879456}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{a3117edc-910a-11df-9df6-000e50879456}\Shell\open\command - "" = H:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{b3f447d5-4f03-11df-9d65-000e50879456}\Shell - "" = AutoRun
O33 - MountPoints2\{b3f447d5-4f03-11df-9d65-000e50879456}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL CIEDEIh.eXE
O33 - MountPoints2\{ccf45ab2-3cef-11e0-9f5c-000e50879456}\Shell\AutoRun\command - "" = I:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{ccf45ab2-3cef-11e0-9f5c-000e50879456}\Shell\open\command - "" = I:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{dce836f5-6c99-11df-9da7-000e50879456}\Shell\AutoRun\command - "" = J:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{dce836f5-6c99-11df-9da7-000e50879456}\Shell\open\command - "" = J:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{dce836f6-6c99-11df-9da7-000e50879456}\Shell\AutoRun\command - "" = K:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O33 - MountPoints2\{dce836f6-6c99-11df-9da7-000e50879456}\Shell\open\command - "" = K:\RECYCLER\S-1-6-21-6129016431-0312943124-490191164-4243\fileview.exe
O35 - HKU\S-1-5-21-299502267-220523388-1801674531-1003..exefile [open] -- "C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\btg.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-299502267-220523388-1801674531-1003\...exe [@ = exefile] -- "C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\btg.exe" -a "%1" %* ()

:Files
C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\btg.exe
C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\n5v6uj2rqw7047unt3qg1
C:\Documents and Settings\All Users\Dane aplikacji\n5v6uj2rqw7047unt3qg1
C:\WINDOWS\tasks\*.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + Gmer

Autor postu otrzymał pochwałę

**Posty:** 20 · przez **mietek158** 16 Maj 2011, 18:48

Ten po skrypcie http://wklej.org/id/530507/
i dwa nowe
http://wklej.org/id/530510/ OTL
http://wklej.org/id/530511/ Extras
ten gmer troche trwa 2 godziny ok moze nie jest on konieczny?

**Posty:** 18165 · przez **wojtas** 16 Maj 2011, 19:01

jest konieczny pod względem rootkitów :

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found

:Files
C:\Documents and Settings\pc\Dane aplikacji\PriceGong

:Commands
[resethosts]

Kliknij wykonaj skrypt.

Wykonaj czynności końcowe :
*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu

Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Java™ 6
>>> Mozilla Firefox 4.0