Usunięcie Relevantknowledge / Logi

[gosia86]

Witam

Mam mały problem,otóż pojawiło się na moim komputerze 'coś' o nazwie Relevantknowledge.Z tego co zdążyłam wyczytać jest to jakiś wirus czy spybot i ciężko jest go usunąć.Wg wcześniej zaczerpniętych z google instrukcji wklejam loga z programu Hijack This.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:17:09, on 2011-07-04
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\program files\relevantknowledge\rlvknlg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

--
End of file - 2315 bytes


Po przeskanowaniu programem Hijack This i usunięciu 'czegoś' co miało w nazwie 'Relevantknowledge' ...program? udało się odinstalować i log wygląda następująco

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:24:30, on 2011-07-04
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

--
End of file - 2175 bytes


Czy to wszystko co było trzeba zrobić ? Wiem że u niektórych problem pojawia się ponownie a osobiście nic z tych logów nie jestem w stanie wyczytać Proszę o pomoc ewentualnie o dalsze instukcje.

[bajbus]

Hijack This obecnie sie do niczego nie nadaje podaj logi OTL i GMER instrukcje ponizej
OTL viewtopic.php?
f=22&t=13967#p107754
GMER viewtopic.php?
f=22&t=13967#p88736
Logi wrzucasz na wklej.eu a na forum podajesz tylko linki

[gosia86]

OTL - http://www.wklej.eu/index.php?id=cd129aaad7
Extras - http://www.wklej.eu/index.php?id=d03ea23b3a

GMER - http://www.wklej.eu/index.php?id=22e2dff57d

[mateo8898]

W logach ani śladu tego. Jak coś to Malwarebytes poradzi sobie z pozostałościami.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zainstaluj jakiegoś antywira.

[gosia86]

Dziękuję za dotychczasową pomoc,poleciały plusiki
Malwarebytes' Anti-Malware znalazł 5 zainfekowanych plików,które usunęłam - http://www.wklej.eu/index.php?id=aa10567cdf
Jakiego polecacie antywirusa na mój słaby komputer ?

[bajbus]

Avast www.instalki.pl/programy/download/Windo ... virus.html
Comodo www.instalki.pl/programy/download/Windo ... virus.html wybierz ktory uwazasz

[kominekl]

Możesz opróżnić kwarantannę Malwarebytes, bo to tylko pozostałości w punktach przywracania. Co do antywirusa to szczególnie mocno polecam Comodo http://www.instalki.pl/programy/downloa ... virus.html.

[gosia86]

Ok,spróbuję z tym Comodo i jeszcze raz wszystkim dziękuję

[gosia86]

Koledzy znów mam ten sam problem,pomożecie ?

OTL - http://www.wklej.eu/index.php?id=d54706da6b
Extras - http://www.wklej.eu/index.php?id=cea42ec8aa

GMER - http://www.wklej.eu/index.php?id=5bffe958d6

Czy to może powodować wolniejszą pracę komputera ?

[mateo8898]

Najpierw spróbuj go odinstalować, masz od niego wpis w Dodaj lub usuń programy. Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll File not found
O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - File not found
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - File not found
[2011-08-12 06:04:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
[2011-08-07 15:07:08 | 000,000,000 | ---D | C] -- C:\Program Files\RelevantKnowledge
[2011-08-12 08:38:00 | 000,001,028 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011-08-12 06:04:27 | 000,001,024 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
O4 - HKLM..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe (TMRG, Inc.)

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\program files\relevantknowledge\rlvknlg.exe"=-

:Services
gupdate

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Czy to może powodować wolniejszą pracę komputera ?

Może.

[gosia86]

a można by jakoś bardziej łopatologicznie bo za bardzo nie ogarniam tematu

[mateo8898]

Napisz, czego nie rozumiesz. Wszystko jest dokładnie krok po kroku opisane.

[gosia86]

Na przykład przy wykonywaniu tego skryptu COMODO informuje mnie że wykrył jakiś szkodliwy plik i nie wiem czy dać "usuń" czy coś innego.Druga sprawa czy w OTLu ma być wszystko odhaczone tak jak tutaj no i jak zrobić log z usuwania ?

[mateo8898]

Na przykład przy wykonywaniu tego skryptu COMODO informuje mnie że wykrył jakiś szkodliwy plik i nie wiem czy dać "usuń" czy coś innego.

Co to za plik i w jakiej lokalizacji??? Najlepiej na czas wykonywania skryptu wyłącz Comodo, gdyż może blokować operację.

Druga sprawa czy w OTLu ma być wszystko odhaczone tak jak tutaj

Tak, ale dopiero wtedy, gdy będziesz robić nowe logi.

no i jak zrobić log z usuwania ?

Po wklejeniu skryptu i kliknięciu Wykonaj skrypt rozpocznie się usuwanie, nastąpi restart i właśnie po ponownym uruchomieniu powinien pojawić się ten log.

[gosia86]

Log z usuwania - http://www.wklej.eu/index.php?id=a4422ce977
OTL - http://www.wklej.eu/index.php?id=663aa90552
Extras - http://www.wklej.eu/index.php?id=bafc56761b

Dodam jeszcze tylko iż na dysku c:\ pojawiłay mi się pólprzezroczyste foldery RECYCLER,System Volume Information i VirtualRoot i parę dziwnych rzeczy (screen) a na dysku D:\ RECYCLER i System Volume Information.Wcześniej ich nie było Dodam że były one przed robieniem tych logów.