Usunięcie Relevantknowledge / Logi

Witam

Mam mały problem,otóż pojawiło się na moim komputerze 'coś' o nazwie Relevantknowledge.Z tego co zdążyłam wyczytać jest to jakiś wirus czy spybot i ciężko jest go usunąć.Wg wcześniej zaczerpniętych z google instrukcji wklejam loga z programu Hijack This.

Kod:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:17:09, on 2011-07-04
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\program files\relevantknowledge\rlvknlg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

--
End of file - 2315 bytes


Po przeskanowaniu programem Hijack This i usunięciu 'czegoś' co miało w nazwie 'Relevantknowledge' ...program? udało się odinstalować i log wygląda następująco

Kod:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:24:30, on 2011-07-04
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

--
End of file - 2175 bytes


Czy to wszystko co było trzeba zrobić ? Wiem że u niektórych problem pojawia się ponownie a osobiście nic z tych logów nie jestem w stanie wyczytać Proszę o pomoc ewentualnie o dalsze instukcje.

Ostatnio edytowany przez gosia86, 04 Lip 2011, 10:34, edytowano w sumie 1 raz

Hijack This obecnie sie do niczego nie nadaje podaj logi OTL i GMER instrukcje ponizej
OTL viewtopic.php?
f=22&t=13967#p107754
GMER viewtopic.php?
f=22&t=13967#p88736
Logi wrzucasz na wklej.eu a na forum podajesz tylko linki

OTL - http://www.wklej.eu/index.php?id=cd129aaad7
Extras - http://www.wklej.eu/index.php?id=d03ea23b3a

GMER - http://www.wklej.eu/index.php?id=22e2dff57d

W logach ani śladu tego. Jak coś to Malwarebytes poradzi sobie z pozostałościami.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zainstaluj jakiegoś antywira.

Dziękuję za dotychczasową pomoc,poleciały plusiki
Malwarebytes' Anti-Malware znalazł 5 zainfekowanych plików,które usunęłam - http://www.wklej.eu/index.php?id=aa10567cdf
Jakiego polecacie antywirusa na mój słaby komputer ?

Avast www.instalki.pl/programy/download/Windo ... virus.html
Comodo www.instalki.pl/programy/download/Windo ... virus.html wybierz ktory uwazasz

Możesz opróżnić kwarantannę Malwarebytes, bo to tylko pozostałości w punktach przywracania. Co do antywirusa to szczególnie mocno polecam Comodo http://www.instalki.pl/programy/downloa ... virus.html.

Ok,spróbuję z tym Comodo i jeszcze raz wszystkim dziękuję

Koledzy znów mam ten sam problem,pomożecie ?

OTL - http://www.wklej.eu/index.php?id=d54706da6b
Extras - http://www.wklej.eu/index.php?id=cea42ec8aa

GMER - http://www.wklej.eu/index.php?id=5bffe958d6

Czy to może powodować wolniejszą pracę komputera ?

Najpierw spróbuj go odinstalować, masz od niego wpis w Dodaj lub usuń programy. Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll File not found
O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - File not found
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - File not found
[2011-08-12 06:04:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
[2011-08-07 15:07:08 | 000,000,000 | ---D | C] -- C:\Program Files\RelevantKnowledge
[2011-08-12 08:38:00 | 000,001,028 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011-08-12 06:04:27 | 000,001,024 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
O4 - HKLM..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe (TMRG, Inc.)

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\program files\relevantknowledge\rlvknlg.exe"=-

:Services
gupdate

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Czy to może powodować wolniejszą pracę komputera ?

Może.

a można by jakoś bardziej łopatologicznie bo za bardzo nie ogarniam tematu

Napisz, czego nie rozumiesz. Wszystko jest dokładnie krok po kroku opisane.

Na przykład przy wykonywaniu tego skryptu COMODO informuje mnie że wykrył jakiś szkodliwy plik i nie wiem czy dać "usuń" czy coś innego.Druga sprawa czy w OTLu ma być wszystko odhaczone tak jak tutaj no i jak zrobić log z usuwania ?

Na przykład przy wykonywaniu tego skryptu COMODO informuje mnie że wykrył jakiś szkodliwy plik i nie wiem czy dać "usuń" czy coś innego.

Co to za plik i w jakiej lokalizacji??? Najlepiej na czas wykonywania skryptu wyłącz Comodo, gdyż może blokować operację.

Druga sprawa czy w OTLu ma być wszystko odhaczone tak jak tutaj

Tak, ale dopiero wtedy, gdy będziesz robić nowe logi.

no i jak zrobić log z usuwania ?

Po wklejeniu skryptu i kliknięciu Wykonaj skrypt rozpocznie się usuwanie, nastąpi restart i właśnie po ponownym uruchomieniu powinien pojawić się ten log.

Log z usuwania - http://www.wklej.eu/index.php?id=a4422ce977
OTL - http://www.wklej.eu/index.php?id=663aa90552
Extras - http://www.wklej.eu/index.php?id=bafc56761b

Dodam jeszcze tylko iż na dysku c:\ pojawiłay mi się pólprzezroczyste foldery RECYCLER,System Volume Information i VirtualRoot i parę dziwnych rzeczy (screen) a na dysku D:\ RECYCLER i System Volume Information.Wcześniej ich nie było Dodam że były one przed robieniem tych logów.