jaqbek12
(Jaqbek12)
23 Sierpień 2012 19:24
#1
Witam, na moim komputerze pojawil się Trojan UKASH. Oto logi z OTL i Extras:
OTL
http://wklej.org/id/817039/
Extras
http://wklej.org/id/817042/
Proszę o pomoc.
Atis
(Atis)
23 Sierpień 2012 19:45
#2
Odinstaluj Glarysoft Toolbar i Funmoods Web Search.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.glarysoft.com/?src=iehome IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.glarysoft.com/?src=iehome IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKLM…\SearchScopes{7569A834-5EE6-7D0D-132F-7BC1E5B255A3}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKLM…\SearchScopes{c1d89ae7-449d-4929-b24b-fded04adbe06}: “URL” = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDtCtDzyyDzzyBtCyC0C0DtN0D0Tzu0CtBtAyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1312950283 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://start.facemoods.com/?a=ddr IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.glarysoft.com/?src=iehome IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://isearch.glarysoft.com/?src=iehome [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.glarysoft.com/?src=newtab IE - HKCU…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDtCtDzyyDzzyBtCyC0C0DtN0D0Tzu0CtBtAyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1312950283 IE - HKCU…\SearchScopes{7569A834-5EE6-7D0D-132F-7BC1E5B255A3}: “URL” = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKCU…\SearchScopes{c1d89ae7-449d-4929-b24b-fded04adbe06}: “URL” = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch IE - HKCU…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 O2 - BHO: (no name) - {64182481-4F71-486b-A045-B233BD0DA8FC} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU…\Run: [iamdfoyionnrfzi] C:\ProgramData\iamdfoyi.exe (Sharkoon) O4 - Startup: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel.exe (Intel) [2012-08-23 19:02:53 | 000,000,000 | —D | C] – C:\ProgramData\dnalnhkoougcqjh [2012-08-23 19:02:52 | 000,141,824 | ---- | C] (Sharkoon) – C:\ProgramData\iamdfoyi.exe [2012-08-23 19:51:29 | 000,384,844 | ---- | M] () – C:\Users\Jakub\AppData\Local\funmoods-speeddial.crx [2012-08-23 19:51:29 | 000,031,465 | ---- | M] () – C:\Users\Jakub\AppData\Local\funmoods.crx [2012-08-23 19:02:53 | 000,078,030 | ---- | M] () – C:\ProgramData\yfcmoysbwjfdtil :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
jaqbek12
(Jaqbek12)
23 Sierpień 2012 20:06
#3
Atis
(Atis)
23 Sierpień 2012 21:29
#4
Odinstaluj starą wersję programu:
Java 6 Update 23
Adobe Reader 9.4.4
Później zainstaluj:
Adobe Reader
Java
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji odznacz Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
jaqbek12
(Jaqbek12)
23 Sierpień 2012 22:05
#5
Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej, aby uzyskać pomoc.
Mam problemy z deinstalacją.
Atis
(Atis)
23 Sierpień 2012 22:25
#6
A dlaczego system jest uruchomiony w trybie awaryjnym?
Uruchom w normalnym trybie i wtedy odinstaluj.
jaqbek12
(Jaqbek12)
23 Sierpień 2012 22:29
#7
Nie mam takiej możliwości, gdyz od razu pojawia sie ta wiadomosc:
http://www.blog.majek.co/wp-content/upl … /ukash.png .
edit: W obecnej chwili uruchomiłem WIndowsa w trybie normalnym, jednak działa.
– Dodane 24.08.2012 (Pt) 1:26 –
Zrobilem wszystko wedle instrukcji, co dalej?
Atis
(Atis)
23 Sierpień 2012 23:54
#8
Skoro system prawidłowo działa w normalnym trybie to nic więcej nie musisz robić.