zet_tychy
(Zet Tychy)
15 Październik 2012 18:09
#1
Witam
W dniu wczorajszym nastąpił atak ukash, dostałem komunikat, że jestem winny policji 200 zł. i komputer zablokowany.
W godzinach wieczornych mogłem wejść na komputer i po wykonaniu skanu na avaście wyszedł groźny wirus na pliku c:\Users\Daria\AppData\Lokcal\Mikrosoft\Windows\Temporary\InternetFiles\Low\Content.IE5\BH13HJMB\0(1)htm
W dniu dzisiejszym wykonałem usunięcie w trybie awaryjnym z wierszem polecenia zgodnie ze stroną CERT Polska jednakże nic to nie dało, następnie jeszcze raz dokonałem skanu na awaście i usunełem powyższy wirus. Proszę o sprawdzenie czy UKASH jeszcze funkcjonuje na moim komputerze
OLT http://wklej.to/J5eCL
Z góry dziękuje
– Dodane 15.10.2012 (Pn) 20:19 –
OTL http://www.wklej.org/id/847972/ w lepszej jakości
Acorus
(Acorus)
15 Październik 2012 18:40
#2
Odinstaluj Akamai NetSession Interface.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
:OTL O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) O4 - HKCU…\Run: [Akamai NetSession Interface] C:\Users\Daria\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKCU…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job [2012-06-08 18:31:35 | 000,000,000 | —D | M] – C:\Users\Daria\AppData\Roaming\OpenCandy :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
zet_tychy
(Zet Tychy)
15 Październik 2012 21:28
#3
AdwCleaner nie mogę zainstalować. Po pobraniu i włączeniu instalacji komputer nie odpowiada na nic. Próbowałem też z innych stron ale reakcja jest taka sama
zet_tychy
(Zet Tychy)
16 Październik 2012 11:28
#5
w nocy zrobiłem skrypt i skan bez pobierania programu AdwCleaner
http://wklej.org/id/848380/
Acorus
(Acorus)
16 Październik 2012 13:56
#6
Miałeś odinstalować Akamai.Odinstaluj Akamai NetSession Interface,Browser Manager.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-10-11 13:17:59 | 002,312,216 | ---- | M] () – C:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe MOD - [2012-10-11 13:17:06 | 002,069,528 | ---- | M] () – c:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll SRV - [2012-10-11 13:17:59 | 002,312,216 | ---- | M] () [Auto | Unknown] – C:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe – (Browser Manager) IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.27010003&st=12 IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 3&st=12&q={searchTerms} IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\SearchScopes{FAA33D64-E4B3-427F-8D96-60087D445F60}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=A6DBB713-9343-4ACF-8F40-D98F9B126DCA&apn_sauid=E4935A51-4EC0-417D-96CB-2C377DE0128E O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [Akamai NetSession Interface] C:\Users\Daria\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found O20 - AppInit_DLLs: (c:\progra~2\browse~1\23796~1.11{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll () [2012-10-15 20:41:10 | 000,000,000 | —D | C] – C:\ProgramData\Browser Manager [2012-10-15 20:41:04 | 000,000,000 | —D | C] – C:\Program Files\BabylonToolbar [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
zet_tychy
(Zet Tychy)
16 Październik 2012 18:11
#7
programy odinstalowane, raportu brak a wynik ponownego skanowania przedstawia się następująco
OTL http://wklej.org/id/848724/
Acorus
(Acorus)
17 Październik 2012 07:52
#8
Wykonaj w trybie awaryjnym. Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
zet_tychy
(Zet Tychy)
17 Październik 2012 08:59
#9
zet_tychy
(Zet Tychy)
17 Październik 2012 13:07
#11
innych żeczy nie mam z ostatniego OTL
zauważyłem jeszcze w C:programData następujące pliki arepo.pad i lsass.exe które wcześniej nie były widoczne
Acorus
(Acorus)
17 Październik 2012 13:26
#12
Coś źle robisz.Dajesz komendę Wykonaj skrypt czy Skanuj.Powtórz usuwanie-musi być raport z usuwania.
zet_tychy
(Zet Tychy)
17 Październik 2012 13:31
#13
po wlejeniu:OTL… daję wykonaj skrypt po zresetowaniu komputera daje skanuj z zaznaczeniem infekcja lop-sprawdzanie i infekcja purity-sprawdzanie.Przy skanowaniu nie wklejam :OTL…
OTL wklejam tylko te co mi podajesz nie całe
Acorus
(Acorus)
17 Październik 2012 17:24
#14
Wklejasz od :OTL do [emptytemp]-Wykonaj skrypt.Po resecie masz log z usuwania.Uruchamiasz OTL i Skanuj - masz nowy log
zet_tychy
(Zet Tychy)
18 Październik 2012 07:05
#15
dosłownie tak to wklejałem, w trybie normalnym i awaryjnym,nie wychodzi log z usuwania
Acorus
(Acorus)
18 Październik 2012 07:56
#16
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
zet_tychy
(Zet Tychy)
19 Październik 2012 09:52
#17
Chyba się udało
http://wklej.org/id/850450/
http://wklej.org/id/850451/
C:programData plik arepo.pad istnieje, brak lsass.exe
Dodam jeszcze od siebie, że to diabelstwo miało informacje takie same jak na stronach policji ale już podparte artykułami kk, a szata graficzna została bardzo zmodyfikowana. Dysponuje zdjęciem i jak bym wiedział gdzie, to mogę je przesłać
Dziękuje za pomoc i laicki spokuj do mojej osoby. Komputer działa
– Dodane 19.10.2012 (Pt) 13:01 –
OTL http://wklej.org/id/850478/
Acorus
(Acorus)
19 Październik 2012 13:47
#18
Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) O20 - AppInit_DLLs: (c:\progra~2\browse~1\23796~1.11{16cdf~1\browse~1.dll) - File not found [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
zet_tychy
(Zet Tychy)
20 Październik 2012 11:07
#19
AdwCleaner http://wklej.org/id/851045/
OTL raport http://wklej.org/id/851048/
Chciałem zrobić jeszcze skanowanie w OTL ale w chwili obecnej już jest to nie możliwe, plik z programem zniknął.
Dziękuje jeszcze raz za pomoc należy się Panu(i) duża kawa z jeszcze większą pianką
Teraz zrobię jeszcze przywracanie systemu
po przywóceniu systemu nie znalazłem na pliku C:programData\erepo.pad