12 odpowiedzi w tym temacie

[ibisek1]

Witam, zwracam się z ogromną prośbą o pomoc.
Dzisiaj wieczorem, podczas przeglądania stron internetowych komputer został zablokowany komunikatem ukash.

Poniżej załączam logi OTL
Z góry dziękuję za pomoc.

Załączone pliki

•  Extras.Txt   93.04 KB   32 Ilość pobrań
•  OTL.Txt   123.79 KB   20 Ilość pobrań

[picasso]

Tu chyba było coś robione. Od infekcji jest tylko poboczny folder hellomoto, brak widzialnego glównego wejścia startowego. Czy przypadkiem, bo widzę świeżo utworzony na dysku, nie podejmowano działań w CCleaner w obszarze startowym?

Skan potwierdzający. Uruchom SystemLook x64, w oknie wklej:

:dir
C:\Users\Ewa\AppData\Local\Microsoft\Windows /s

Klik w Look i przedstaw raport.


.

[ibisek1]

Dziękuję za odpowiedź. Nie dam głowy, czy nie było coś robione, bo nie jestem jedynym użytkownikiem. Możliwe, że ktoś czegoś próbował.
W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB).
Co w tym przypadku?

[picasso]

W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB).
Co w tym przypadku?

Z raportu wytnij tylko te katalogi do oceny, które mają jako nazwę numery.



.

[ibisek1]

Nie wiem, czy dobrze zrozumiałam, czy o to chodzi?
Przepraszam za te pytania, ale nie za bardzo znam sie na rzeczy...

Załączone pliki

•  SystemLook.txt   22.18 KB   25 Ilość pobrań

[picasso]

A jednak, jest nadal na dysku folder główny tej infekcji, choć już ogołocony:

C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983	d------	[18:23 22/07/2012]
6459f8bf	--a---- 20052 bytes	[18:23 22/07/2012]	[18:23 22/07/2012]

1. Przez Panel sterowania odinstaluj adware Sonarca Sound Recorder Free DB Toolbar Toolbar, SweetIM, Wisdom-soft Toolbar. Od razu także sugeruję deinstalację: wątpliwego Uniblue RegistryBooster oraz problematycznego a zbędnego ASUS WebStorage (na forum dużo tematów z błędami explorer.exe z winy tego oprogramowania).

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983
C:\Users\Ewa\AppData\Roaming\hellomoto

:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/accmeware/{E6AB23E2-1E92-4D8B-9F69-EF33E84F9ABB}?q={searchTerms}"

:Reg
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3.



.

[ibisek1]

Witam,
Wykonałam wszystkie punkty i załączam pliki:

Załączone pliki

•  AdwCleanerS1.txt   7.9 KB   15 Ilość pobrań
•  07252012_170509.txt   5.93 KB   15 Ilość pobrań
•  OTL.Txt   121.53 KB   13 Ilość pobrań

[picasso]

O ile skrypt wykonany, AdwCleaner czyścił co należy, to jednak w logu z OTL widzę nadal w pełnej krasie Wisdom-soft toolbar. Czy był jakiś problem z jego deinstalacją?


.

[ibisek1]

tak, był problem.
Mimo, że pojawiał się komunikat, ze deinstalacja się powiodła, to i tak program został w liście programów.
Próbowałam kilka raze, restart również nie pomógł.

[picasso]

To doczyścimy go ręcznie.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wisdom-soft Toolbar]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Tym razem bez restartu.

2. Do oceny wystarczy mi tylko log z usuwania OTL + potwierdzenie słowne, że wejście zniknęło z listy zainstalowanych.


.

[ibisek1]

Załączam log z czyszczenia.
Wisdom soft toolbar zniknął z listy programów.

Załączone pliki

•  08042012_080819.txt   4.04 KB   14 Ilość pobrań

[picasso]

Zrobione. Możemy kończyć:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

2. Korekta sytuacji z zabezpieczeniami: są tu aż dwa obiekty Avira Free Antivirus + Trend Micro Titanium Internet Security. Jeden z antywirusów musi zostać usunięty.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak SP1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Opera)
"Opera 12.00.1467" = Opera 12.00

Adobe, Java i Silverlight odinstaluj, po tym zamontuj najnowsze wersje.


PS. Gadu-Gadu 10 też polecam zamienić lżejszym programem z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.


.

[ibisek1]

Przepraszam za nieobecność, nie miałam dostępu do sieci. Dzisiaj po pracy zajmę się tymi ostatnimi krokami.
Serdecznie dziękuję za pomoc.