xancik Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 (edytowane) Mam ten sam problem co kazdy. Probowalem poradzic sobie z nim za pomoca ComboFixa, jednak bezskutecznie ;f Znalazlem na tym forum wiele odpowiedzi odnoszacych sie do problemu tego drazniacego mnie malware. Widze, ze ekspertem w tej sprawie jest picasso. Kieruje wiec do niej prosbe o stworzenie skryptu i dla mnie W temacie zalaczam oczywiscie logi z OTL-a. Poprawilem zaimek osobowy odnoszacy sie do osoby picasso Postaram sie jakos wesprzec forum w najblizszym czasie ( wyplata ) @down: Landuss dzieki za wstepna pomoc. Jak tylko wykonam skrypt zamieszcze logi. Extras.Txt OTL.Txt Edytowane 12 Lipca 2012 przez xancik Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe -- (NeroRegInCDSrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=a986d354-2752-11e1-9995-00241d22495f IE - HKLM\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=a986d354-2752-11e1-9995-00241d22495f&q= [2012-04-07 17:36:25 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{f54bdc71-5bf3-8435-6fe7-37d53bc2d377} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
xancik Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Ok. Wykonalem skrypt, przeskanowalem wszystko jeszcze raz. Oto rezultat mojego skanowania. Co dalej ? OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Nadal są tu drobne śmieci, jeszcze jeden skrypt: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=a986d354-2752-11e1-9995-00241d22495f IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 IE - HKCU\..\SearchScopes\{CF02D810-80AA-407C-9324-A7C7AC7E6058}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=DAAEA750-69D1-402B-89F9-D6637A734720&apn_sauid=4BF60AC0-E7B1-4C4F-98A9-CEF62651C6F8 IE - HKCU\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=a986d354-2752-11e1-9995-00241d22495f&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Ask.com" [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\yz5kryxd.default\searchplugins\askcom.xml [2012-04-07 17:36:18 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\yz5kryxd.default\searchplugins\startsear.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKLM..\Run: [GEST] = File not found [2012-07-06 19:25:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto :Commands [reboot] Do obejrzenia nowy log. Odnośnik do komentarza
xancik Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Dzieki za dotychczasowa pomoc. Lap kolejne logi. Jak bedziesz mial chwilke to zajrzyj. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Teraz mogę powiedzieć, że wyczyszczone. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Mateusz\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
xancik Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Dziekuje Landuss za fachowa pomoc. Postaram sie wesprzec forum we wlasnym zakresie. Sadzac po tym, jak wiele przypadkow malware Ukash wystepuje ostatnimi czasy dobrze by bylo gdybyscie wspolnymi silami napisali kiedys krotki poradnik odnosnie tworzenia indywidualnego skryptu dla poszczegolnych przypadkow tego malware. Cos a'la "Zrob to sam" Moze nie wszyscy zrozumieja, ale kto ma jakiekolwiek podstawy jesli chodzi o regedit powinien sobie poradzic. Jeszcze raz dzieki wielkie. Temat do zamkniecia. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Sadzac po tym, jak wiele przypadkow malware Ukash wystepuje ostatnimi czasy dobrze by bylo gdybyscie wspolnymi silami napisali kiedys krotki poradnik odnosnie tworzenia indywidualnego skryptu dla poszczegolnych przypadkow tego malware. Cos a'la "Zrob to sam" To nie wchodzi w grę. By pisać skrypty OTL, należy umieć analizować logi, a by umieć analizować logi, należy bardzo dobrze znać system operacyjny Windows. Kto to umie, sam usuwa trojana i nie prosi o pomoc. A kto nie umie, nie wolno go popychać w maliny i robienie skryptów, których nie rozumie. . Odnośnik do komentarza
Rekomendowane odpowiedzi