wilkey90
(Radoslaw Wilusz)
10 Sierpień 2012 15:20
#1
Witam. Mam problem z wirusem Ukash. Oto logi: OTL.txt http://wklej.org/id/808158/
Extrax.txt http://wklej.org/id/808169/
Acorus
(Acorus)
10 Sierpień 2012 15:31
#2
Odinstaluj vShare Plugin,vShare.tv plugin 1.3.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 IE - HKLM…\SearchScopes{E7EF9E3A-6FFF-4446-8DE4-0B0B7CB16D5C}: “URL” = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 IE - HKCU…\SearchScopes{043C5167-00BB-4324-AF7E-62013FAEDACF}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKCU…\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: “URL” = http://startsear.ch/?aff=1&q={searchTerms} IE - HKCU…\SearchScopes{E7EF9E3A-6FFF-4446-8DE4-0B0B7CB16D5C}: “URL” = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…browser.startup.homepage: “http://startsear.ch/?aff=1 ” [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () – C:\Users\Krystian\AppData\Roaming\Mozilla\Firefox\Profiles\gp7shfa8.default\searchplugins\iMeshWebSearch.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Users\Krystian\AppData\Roaming\Mozilla\Firefox\Profiles\gp7shfa8.default\searchplugins\startsear.xml O3:64bit: - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM…\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll () O3 - HKLM…\Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found. O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O4 - HKLM…\Run: [agrqkncvjjanebp] C:\ProgramData\agrqkncv.exe () O4 - HKCU…\Run: [agrqkncvjjanebp] C:\ProgramData\agrqkncv.exe () O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll) - File not found [2012-07-21 21:05:35 | 000,000,000 | —D | C] – C:\ProgramData\vtlusekdjetmpxo [2012-07-21 21:05:46 | 000,000,051 | ---- | M] () – C:\ProgramData\clhpljiibvynkys [2012-07-21 21:05:29 | 000,057,344 | ---- | M] () – C:\ProgramData\agrqkncv.exe [2012-07-21 21:05:29 | 000,057,344 | ---- | M] () – C:\Users\Krystian\0.6756181579332485.exe :Files C:\Users\Krystian\AppData\Local\Temp*.html :Commands [emptytemp]
Kliknij Wykonaj skrypt.
Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
wilkey90
(Radoslaw Wilusz)
10 Sierpień 2012 15:57
#3
No jestem pod wrażeniem twoich umiejętności. Prześledziłem ten kod i rzeczywiście tam siedział ten syf. Trochę chyba już musiałeś ludziom pomóc bo ja dostawałem oczoplasu widząc te logi:) Teraz już mam system w trybie pracy normalnej a nie awaryjnej. Kolejne logi:
http://wklej.org/id/808197/
http://wklej.org/id/808198/
Acorus
(Acorus)
10 Sierpień 2012 16:26
#4
W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
wilkey90
(Radoslaw Wilusz)
10 Sierpień 2012 17:02
#5
I ostatecznie Log wygląda następująco: http://wklej.org/id/808233/ wielkie dzięki za pomoc. Comodo mam nadzieje że z resztą sobie poradzi.