Mój komputer został zainfekowany wirusem Ukash, który oczekuje pieniędzy za zdjęcie blokady.
Wiem że trzeba tu wiedzy eksperckiej, której nie posiadam… Poniżej zamieszczam logi z OTLa
OTL.txt
http://wklej.org/id/1042526/
Extras.txt
http://wklej.org/id/1042527/
z góry dziękuję za pomoc.
Atis
19 Maj 2013 09:14
#2
Nie widać wirusa Ukash, bo log jest wykonany na wbudowanym koncie Administrator.
Zaloguj się na własne konto i wtedy utwórz log. W logu widać trojana ZeroAccess (Sirefef).
Pobierz i uruchom plik FIX:
http://sendfile.pl/320197/FIX.bat
Pobierz i uruchom TDSSKiller
Nie zmieniaj żadnych tylko zatwierdź akcje zalecane przez program
Pokaż raport z TDSSKiller: C:\TDSSKiller.wersja_data_czas_log.txt.
Wielkie Dzięki, na chwilę obecną zrobiłem tą operację w TDSSKiller i chyba pomogło.
Wrzutka:
http://wklej.org/id/1042619/
Zaraz zrobię log na swoim koncie.
– Dodane 19.05.2013 (N) 12:11 –
hej, mam problem, bo nie mogę się zalogować na swoim koncie - po wpisaniu swojego hasła, mam ze dwa mrugnięcia ekranu i komputer uruchamia się ponownie. Natomiast na drugim koncie (GOŚĆ), uruchamianym w trybie normalnym (nie awaryjnym) wszystko jest w porządku - z niego teraz pisze.
Co robić ? Dzięki za pomoc.
Atis
19 Maj 2013 10:20
#4
Uruchom OTL i kliknij Nic.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Zrobiłem to co mówiłeś, wyszło coś takiego:
http://wklej.org/id/1042664/
Atis
19 Maj 2013 11:02
#6
Mogłeś przeskanować zainstalowanym Malwarebytes, bo powinien wykryć ten plik skype.dat
Pobierz i uruchom plik FIX:
http://sendfile.pl/320268/FIX.bat
Po wykonaniu skryptu spróbuj zalogować się na zainfekowane konto.
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Odinstaluj:
Delta toolbar
Delta Chrome Toolbar
Browsers Protector
GameBox Toolbar
McAfee Security Scan Plus
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
5 . Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż raport z tego programu.
Witaj,
pkt 1 - zrobione,
pkt 2 - udało się dostać na mój profil. Oto raport z usuwania i nowy log:
http://wklej.org/id/1042772/
pkt 3 - zrobione
pkt 4 - zrobione - raport z usuwania.
http://wklej.org/id/1042774/
pkt 5 - zeskanowane - w załączeniu raport.
http://wklej.org/id/1042775/
Dzięki za pomoc - wszytsko już ?
Pozdrawiam.
Atis
19 Maj 2013 13:31
#8
Brakuje nowego loga z OTL. Kliknij Skanuj i pokaż log.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Oto nowy log:
http://wklej.org/id/1044039/
http://wklej.org/id/1044043/
Co do tego pliku FIX, to po naciśnięciu prawego przycisku nie mam takiej opcji jak Scal.
Dzięki.
falcon89
20 Maj 2013 22:25
#10
Kliknij dwa razy na ten plik lub prawym i Otwórz
Atis
21 Maj 2013 09:03
#11
Najpierw rozpakuj archiwum ZIP, a dopiero później wybierz Scal lub dwukrotnie kliknij na tym pliku.
Teraz widać nowy składnik ZeroAccess (Sirefef)…
Pobierz i uruchom plik FIX:
http://sendfile.pl/321516/FIX.bat
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [On_Demand | Stopped] – C:\Program Files\BullGuard Software\BullGuard\support\bgrasvc.exe – (BGRaSvc) SRV - [2012-12-18 09:40:56 | 000,018,944 | ---- | M] () [Auto | Running] – C:\Documents and Settings\Artur Bubrowiecki\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation\Update\nvupd32.exe – (NvUpdSrv) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [File_System | On_Demand | Stopped] – C:\Program Files\Anti Trojan Elite\ATEPMon.sys – (ATE_PROCMON) DRV - [2012-09-04 22:19:53 | 000,027,424 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\hitmanpro36.sys – (hitmanpro36) IE - HKLM…\SearchScopes{E7BBF2E4-215A-45A3-9CF2-D1FDED8D3C40}: “URL” = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0C0B0FyEtAzz0AzytB0DtB0A0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=792614602 IE - HKCU…\SearchScopes{32DB9C74-2125-44B0-8032-BA4E8A9D77CF}: “URL” = https://isearch.avg.com/search?cid={446FE359-E211-4820-AFC5-80746F946E36}&mid=〈=pl&ds=xn011&pr=sa&d=2012-09-15 15:30:35&v=12.1.0.20&sap=dsp&q={searchTerms} IE - HKCU…\SearchScopes{8679FF57-7B98-4e63-B86D-FA4B96D7B441}: “URL” = http://search.speedbit.com/searchresult … default&q={searchTerms} IE - HKCU…\SearchScopes{E7BBF2E4-215A-45A3-9CF2-D1FDED8D3C40}: “URL” = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0C0B0FyEtAzz0AzytB0DtB0A0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=792614602 IE - HKCU…\SearchScopes{CFF6C558-6BE3-44B7-92E9-187B59B148DB}: “URL” = http://gbt.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp [2013-03-01 00:06:23 | 000,000,000 | —D | M] (z) – C:\Program Files\Mozilla Firefox\extensions{d5c803b5-8974-f2ed-5a3b-f02715398f73} O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” File not found O4 - HKCU…\Run: [Xetstp] C:\Documents and Settings\Artur Bubrowiecki\Dane aplikacji\Xetstp.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Artur Bubrowiecki\Dane aplikacji\skype.dat) - File not found [2013-05-19 11:42:44 | 000,000,000 | —D | C] – C:\TDSSKiller_Quarantine [2013-05-19 14:23:04 | 000,000,516 | ---- | M] () – C:\WINDOWS\tasks\SpeedyPC Update Version3 Startup Task.job [2012-08-01 21:49:27 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro :Files C:\WINDOWS\tasks\RealUpgrade*.job RECYCLER /alldrives :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.