danmik
14 Lipiec 2012 20:17
#1
Witam, mam problem z zablokowanym komputerem przez ostatnio atakujące oprogramowanie typu ransomware. Nie pomogło wpisywanie kodu UKASH z generatora ze strony http://www.cert.pl. , nie powiodło się uruchomienie Kasperskiego rescue dysk 10 z CD. Proszę o pomoc.
Skan z OTL:
OTL.txt
http://wklej.to/3YHo6
extras.txt
http://wklej.to/Vl8Wv
Atis
14 Lipiec 2012 20:42
#2
Po restarcie w normalnym trybie odinstaluj Ask Toolbar i Babylon Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=10&q={searchTerms} IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=280612_8_&babsrc=SP_ss&mntrId=240e99d100000000000000242b27b689 IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://tbsearch.ask.com/redirect?client … src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{70D46D94-BF1E-45ED-B567-48701376298E}: “URL” = http://127.0.0.1:4664/search&s=vtlTTwi3 … 4JZdNpg?q={searchTerms} IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=10&q={searchTerms} O4 - HKLM…\Run: [eRecoveryService] File not found O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [] File not found O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [lhzqighkulpztkq] C:\ProgramData\lhzqighk.exe (Freescale) O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [ProductReg] “C:\Program Files\Acer\WR_PopUp\ProductReg.exe” File not found O4 - Startup: C:\Users\daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Orion.lnk = File not found [2012-07-13 23:59:19 | 000,121,344 | ---- | C] (Freescale) – C:\ProgramData\lhzqighk.exe [2012-07-13 23:59:18 | 000,000,000 | —D | C] – C:\ProgramData\kutumxpsugiyegl [2012-07-13 23:59:16 | 000,121,344 | ---- | C] (Freescale) – C:\Users\daniel\0.3248717232710514.exe [2012-07-13 23:59:20 | 000,000,051 | ---- | M] () – C:\ProgramData\nmppfcnxmxrdzht [2012-06-28 23:33:04 | 000,001,530 | ---- | M] () – C:\user.js :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Leon1
14 Lipiec 2012 20:44
#3
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=280612_8_&babsrc=SP_ss&mntrId=240e99d100000000000000242b27b689 IE - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://tbsearch.ask.com/redirect?client … src=crm&q={searchTerms}&locale=en_US O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O4 - HKLM…\Run: [eRecoveryService] File not found O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [] File not found O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [lhzqighkulpztkq] C:\ProgramData\lhzqighk.exe (Freescale) O4 - HKU\S-1-5-21-3577674966-3198201638-1329336-1000…\Run: [ProductReg] “C:\Program Files\Acer\WR_PopUp\ProductReg.exe” File not found [2012-07-13 23:59:19 | 000,121,344 | ---- | C] (Freescale) – C:\ProgramData\lhzqighk.exe [2012-07-13 23:59:18 | 000,000,000 | —D | C] – C:\ProgramData\kutumxpsugiyegl [2012-07-13 23:59:16 | 000,121,344 | ---- | C] (Freescale) – C:\Users\daniel\0.3248717232710514.exe [2012-06-28 23:33:16 | 000,000,000 | —D | C] – C:\Users\daniel\AppData\Roaming\BabylonToolbar [2012-06-28 23:32:49 | 000,000,000 | —D | C] – C:\Users\daniel\AppData\Roaming\Babylon [2012-06-28 23:32:49 | 000,000,000 | —D | C] – C:\ProgramData\Babylon [2012-07-14 19:55:42 | 000,001,032 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012-07-14 18:16:11 | 000,001,036 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012-07-14 16:01:11 | 000,001,062 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3577674966-3198201638-1329336-1000UA.job [2012-07-14 11:35:00 | 000,000,930 | ---- | M] () – C:\Windows\tasks\Adobe Flash Player Updater.job [2012-07-13 23:59:20 | 000,000,051 | ---- | M] () – C:\ProgramData\nmppfcnxmxrdzht [2012-06-28 23:32:49 | 000,000,000 | —D | M] – C:\Users\daniel\AppData\Roaming\Babylon [2012-06-28 23:33:16 | 000,000,000 | —D | M] – C:\Users\daniel\AppData\Roaming\BabylonToolbar [2012-07-13 19:01:03 | 000,001,010 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3577674966-3198201638-1329336-1000Core.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [RESETHOSTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
danmik
14 Lipiec 2012 21:55
#4
dzięki Atis za szybką reakcję, również podziękowania dla Leon$a, jakieś różnice w skryptach, ale to chyba jeszcze i tak nie koniec?
wyniki wykonania skryptu wg Atisa:
log z usuwania
http://wklej.to/YwhVX
log OTL ze skanowania
http://wklej.to/wMXTh
czy i jakie będą następne kroki?
Boshi
14 Lipiec 2012 22:11
#5
Podejrzewam, że skrypt leona więcej czyści syfu, nie bój się nic nie usuwa waznego.
Atis
14 Lipiec 2012 22:24
#6
Czyści nawet to, co nie istnieje.
Nie widać żadnych wpisów w kluczu mountpoints2, to nie wiem w jakim celu usuwać ten klucz.
Plik Hosts wygląda prawidłowo, więc w jakim celu jest resetowany.
danmik
Wklej i kliknij Wykonaj skrypt:
:OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found [2012-06-28 23:33:16 | 000,000,000 | —D | C] – C:\Users\daniel\AppData\Roaming\BabylonToolbar [2012-06-28 23:32:49 | 000,000,000 | —D | C] – C:\Users\daniel\AppData\Roaming\Babylon [2012-06-28 23:32:49 | 000,000,000 | —D | C] – C:\ProgramData\Babylon
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
danmik
15 Lipiec 2012 07:57
#7
Witam, działania poskutkowały, zamieszczam dodatkowo raport z checkup.txt, w razie jakiś koniecznych zaleceń - jak by sie pojawiły, aktualizacje programów przeprowadzę (oprócz może Thunderbirda - przetrzymuję tam starą pocztę z poprzedniej pracy, nie korzystam z tego programu); dzięki za pomoc!
Atis
15 Lipiec 2012 09:52
#8
danmik
15 Lipiec 2012 12:45
#9
zrobiłem jak radziłeś,wszystko chodzi, dzięki
