Carlosso131
(Karol Matuszewski)
3 Sierpień 2012 14:28
#1
Witam wszystkich serdecznie, jestem tu nowy, jednakże szukam pomocy wśród bardziej ogarniętych - otóż sprawa dotyczy (dla was to już pewnie nudne - jednak sprawa jest poważna) wirusa UKASH, który zaatakował komputer mojego szwagra - przeszukując internet nie znalazłem sposobu który byłby ultra prosty (dla niezaawansowanych) i szybki, dlatego proszę was o pomoc. Wklejam raporty z OTL - bardzo proszę o pomoc.
OTL.txt - http://www.wklej.org/hash/6ae0d622046/
Extras.txt - http://www.wklej.org/hash/42cd7300be5/
Pozdrawiam
Acorus
(Acorus)
3 Sierpień 2012 14:45
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20090118.033\NAVEX15.SYS – (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] – C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20090118.033\NAVENG.SYS – (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Users\ROBERT\AppData\Local\Temp\catchme.sys – (catchme) O4 - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\Run: [Facebook Update] C:\Users\ROBERT\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\Run: [TapiSysprep] C:\Users\ROBERT\AppData\Local\Microsoft\Windows\1463\TapiSysprep.exe () [2012-07-30 09:07:36 | 000,000,000 | —D | C] – C:\Users\ROBERT\AppData\Roaming\hellomoto :Files C:\Users\ROBERT\AppData\Local\Microsoft\Windows\1463 :Commands [emptytemp]
Kliknij Wykonaj skrypt.
Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Nowy log pokaż po użyciu AdwCleanera.
Carlosso131
(Karol Matuszewski)
3 Sierpień 2012 15:20
#3
http://www.wklej.org/id/803292/ - oto raport po wykonaniu skryptu i po uruchomieniu komputera ponownie
http://www.wklej.org/hash/047e26c6493/ - oto nowy raport z OTL
użyłem AdwCleaner - funkcja Delete, aczkolwiek raportu ani widu ani słychu
– Dodane 03.08.2012 (Pt) 17:41 –
komputer uruchomił się w trybie normalnym - póki co to wszystko działa - mam też raport z AdwCleaner-a
http://www.wklej.org/hash/783bd73c0c0/
dziękuję serdecznie za pomoc wypijam Twoje zdrowie kolego
Acorus
(Acorus)
4 Sierpień 2012 08:31
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10&barid={31FB7F4B-51DD-4022-8EED-048017DA43E3} IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=10&q={searchTerms}&barid={31FB7F4B-51DD-4022-8EED-048017DA43E3} IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot IE - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\SearchScopes{E8BE0EA6-13C3-420C-8727-7BC7C07FB210}: “URL” = http://search.yahoo.com/search?fr=chr-g … =616163&p={searchTerms} IE - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyOverride” = 127.0.0.1:9421; FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.search.selectedEngine: “Ask.com ” FF - prefs.js…browser.startup.homepage: “http://www.bigseekpro.com/acala3gp/{13A1056A-BA93-46F3-9AC9-5DF3C2EF148D} ” FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.15.2.100013 FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…browser.startup.homepage: “http://search.babylon.com/?affID=110819&tt=280612_6_&babsrc=HP_ss&mntrId=9c45caea000000000000002215ec49c6 ” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://search.sweetim.com/search.asp?src=2&q= ” FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” [2012-02-16 20:41:59 | 000,000,000 | —D | M] (uTorrentControl2 Community Toolbar) – C:\Users\ROBERT\AppData\Roaming\mozilla\Firefox\Profiles\m6vjokr6.default\extensions{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-06-03 23:12:15 | 000,000,000 | —D | M] (SweetPacks Toolbar for Firefox) – C:\Users\ROBERT\AppData\Roaming\mozilla\Firefox\Profiles\m6vjokr6.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847} [2011-10-06 09:43:25 | 000,000,000 | —D | M] (Babylon) – C:\Users\ROBERT\AppData\Roaming\mozilla\Firefox\Profiles\m6vjokr6.default\extensions\ffxtlbr@babylon.com [2012-06-06 21:36:16 | 000,000,000 | —D | M] (incredibar.com ) – C:\Users\ROBERT\AppData\Roaming\mozilla\Firefox\Profiles\m6vjokr6.default\extensions\ffxtlbr@incredibar.com [2012-07-16 19:22:02 | 000,002,299 | ---- | M] () – C:\Users\ROBERT\AppData\Roaming\Mozilla\Firefox\Profiles\m6vjokr6.default\searchplugins\askcom.xml [2012-06-06 21:35:57 | 000,002,203 | ---- | M] () – C:\Users\ROBERT\AppData\Roaming\Mozilla\Firefox\Profiles\m6vjokr6.default\searchplugins\MyStart Search.xml [2011-09-29 18:06:42 | 000,002,376 | ---- | M] () – C:\Users\ROBERT\AppData\Roaming\Mozilla\Firefox\Profiles\m6vjokr6.default\searchplugins\search.xml [2012-07-02 11:45:00 | 000,004,002 | ---- | M] () – C:\Users\ROBERT\AppData\Roaming\Mozilla\Firefox\Profiles\m6vjokr6.default\searchplugins\sweetim.xml [2012-02-16 21:13:30 | 000,001,390 | ---- | M] () – C:\Users\ROBERT\AppData\Roaming\Mozilla\Firefox\Profiles\m6vjokr6.default\searchplugins\yahoo-zugo.xml O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKU\S-1-5-21-1787435448-3293300859-1273399897-1000…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) [2012-07-17 11:31:01 | 000,001,060 | ---- | M] () – C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1787435448-3293300859-1273399897-1000Core.job [2012-07-30 08:31:17 | 000,001,082 | ---- | M] () – C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1787435448-3293300859-1273399897-1000UA.job :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.