rohaczzdube
(Grzegorz Mikosza)
27 Styczeń 2013 17:08
#1
Witam,
mam problem z wirusem ukash. Nie mam możliwości zrobienia logów z trybu awaryjnego ponieważ ten nie działa. Wymusiłem na systemie zamknięcie ekranu wirusa (poprzez wyłączenie systemu) a następnie zatrzymałem dalsze zamykanie. Na takim systemie zrobiłem log OTL http://www.wklej.org/id/939462/ Wcześniej próbowałem coś zaradzić CCleanerem i wyrzuciłem z autostartu moim zdaniem podejrzane dwie pozycje ale to nic nie dało.
Proszę o pomoc.
jessica
(jessica)
27 Styczeń 2013 21:17
#2
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files C:\Users\Grzegorz\AppData\Roaming\skype.ini C:\ProgramData\jm67r2TX.dat C:\ProgramData\3685l5KB.exe_.b C:\ProgramData\3685l5KB.exe.b :OTL IE - HKU\S-1-5-21-1318566701-3717180073-1009213088-1000…\URLSearchHook: {ad708c09-d51b-45b3-9d28-4eba2681febf} - No CLSID value found FF - prefs.js…browser.search.defaultenginename: “Blekko” FF - prefs.js…browser.search.order.1: “Blekko” FF - prefs.js…browser.search.selectedEngine: “Blekko” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1269415&SearchSource=2&q= ” FF - HKLM\Software\MozillaPlugins@Apple.com/iTunes,version=: File not found [2012/05/23 14:09:38 | 000,000,000 | —D | M] (Complitly - Speed up your search with your personal search suggestions tool) – C:\Users\Grzegorz\AppData\Roaming\mozilla\Firefox\Profiles\fcg1wgt9.default\extensions{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012/08/17 11:52:07 | 000,000,000 | —D | M] (blekko search bar) – C:\Users\Grzegorz\AppData\Roaming\mozilla\Firefox\Profiles\fcg1wgt9.default\extensions{8769adce-dba5-48e9-afb5-67b12cdf2e61} FF - prefs.js…extensions.enabledAddons: {33e0daa6-3af3-d8b5-6752-10e949c61516}:1.1 [2012/08/17 11:52:07 | 000,002,134 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\search.xml O2:64bit: - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Grzegorz\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen) O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Grzegorz\AppData\Roaming\Complitly\Complitly.dll (SimplyGen) O2 - BHO: (blekko search bar) - {8769adce-dba5-48e9-afb5-67b12cdf2e61} - C:\Program Files (x86)\blekkotb_031\blekkotb_019X.dll () O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (blekko search bar) - {8769adce-dba5-48e9-afb5-67b12cdf2e61} - C:\Program Files (x86)\blekkotb_031\blekkotb_019X.dll () O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-1318566701-3717180073-1009213088-1000…\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1318566701-3717180073-1009213088-1000…\Run: [Akamai NetSession Interface] C:\Users\Grzegorz\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-1318566701-3717180073-1009213088-1000…\Run: [RocketDock] “C:\Program Files (x86)\RocketDock\RocketDock.exe” File not found O20 - HKU\S-1-5-21-1318566701-3717180073-1009213088-1000 Winlogon: Shell - (C:\Users\Grzegorz\AppData\Roaming\skype.dat) - C:\Users\Grzegorz\AppData\Roaming\skype.dat () :Reg [HKEY_USER\S-1-5-21-1318566701-3717180073-1009213088-1000\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.google.pl/ ” [-HKEY_USERS\S-1-5-21-1318566701-3717180073-1009213088-1000\Software\Microsoft\Internet Explorer\SearchScopes{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}] :Commands [emptytemp]
Kliknij w Wykonaj Skrypt . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[s1].txt
jessi
rohaczzdube
(Grzegorz Mikosza)
28 Styczeń 2013 07:42
#3
jessica
(jessica)
28 Styczeń 2013 08:31
#4
W nowym logu nie widzę już niczego szkodliwego, więc powinno być OK. ( nieaktualne )
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną. ( nieaktualne )
jessi
jessica
(jessica)
28 Styczeń 2013 09:51
#6
Fakt, najwyraźniej jestem bardziej ślepa niż wykrywa okulista.
Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement : )
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE.
Do >SystemLook-64 wklej:
Naciśnij Look i pokaż raport.
Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
Daj nowy log z OTL.
jessi.
rohaczzdube
(Grzegorz Mikosza)
28 Styczeń 2013 10:36
#7
jessica
(jessica)
28 Styczeń 2013 10:42
#8
Nie ma logów z Rogue Killer’a - zamiast nich jest raport z SystemLook.
RogueKiller robi 2 logi - daj oba.
Jeśli nie możesz ich odszukać już - to napisz.
jessi
rohaczzdube
(Grzegorz Mikosza)
28 Styczeń 2013 10:55
#9
Jasne, mój błąd: http://www.wklej.org/id/940050/
– Dodane 28.01.2013 (Pn) 12:07 –
Drugi log to Quarantine? http://www.wklej.org/id/940068/
jessica
(jessica)
28 Styczeń 2013 11:08
#10
Coś tu się nie zgadza: RogueKiller usuwał, o godz. 11:22, SystemLook wykrył obiekt ZeroAcces’a o godz.11:24, a w logu OTL zrobionym o godz. 11: 27 nie ma tego obiektu.
Nie wiadomo, w co tu wierzyć.
Na wszelki wypadek:
Otwórz Notatnik i wklej w nim:
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na: Wszystkie pliki > Zapisz jako FIX.BAT
Kliknij prawym na plik i wybierz opcję “Uruchom jako Administrator.”
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""
[HKEY_USERS\S-1-5-21-1318566701-3717180073-1009213088-1000\software\microsoft\windows\currentversion\run]
"RGSC"=-
[HKEY_USERS\S-1-5-21-1318566701-3717180073-1009213088-1000\software\microsoft\windows\currentversion\run]
"HomeMedia Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Do SystemLook wklej:
Naciśnij Look i pokaż raport.
jessi
rohaczzdube
(Grzegorz Mikosza)
28 Styczeń 2013 11:20
#11
Może pogubiłem się w tych raportach.
Raport z systemlook: http://wklej.org/id/940078/
jessica
(jessica)
28 Styczeń 2013 11:27
#12
Nie, nie pogubiłeś się w tych raportach. To tylko jakaś niezgodność narzędzi.
Ale już jest OK.
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
FSS - usuń ręcznie.
RogueKiller - usuń ręcznie.
To wszystko.
jessi
rohaczzdube
(Grzegorz Mikosza)
28 Styczeń 2013 18:50
#13
Super! Wszystko zrobione.
Dzięki serdeczne!