maveric Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Witam mój komputer został zainfekowany wirsem Ukash. Nie mam pojęcia jak go usunąć i pracje obecnie w trybie awaryjnym. Proszę o szybką pomoc, sesja nadciąga. Załączam oba pliki bo tak z tego co wyczytałem trzeba. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.paxyd.com/ IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333130683_607885 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=1101316&mntrId=4831d4fe000000000000002243915174 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=crm&q={searchTerms}&locale=&apn_ptnrs=F4&apn_dtid=YYYYYYYYPL&apn_uid=f683e3c1-5c96-42b9-8135-db2eeb58571b&apn_sauid=13A82C93-655E-40F6-A175-9CD9F75C95DD& IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2012-05-14 09:46:30 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Maveric\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-10-06 14:03:41 | 000,002,289 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [lbzfwoxgyopceen] C:\ProgramData\lbzfwoxg.exe () [2012-07-11 23:52:24 | 000,000,000 | ---D | C] -- C:\ProgramData\kotneffoyniblai [2012-07-11 23:52:22 | 000,000,051 | ---- | C] () -- C:\ProgramData\nglexgdtqancgbq :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / Ask Toolbar / Akamai NetSession Interface Service / Babylon toolbar on IE / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / Free_Lunch_Design Toolbar / Reganam Toolbar / Softonic-Eng7 Toolbar / uTorrentControl2 Toolbar / Yahoo! Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
maveric Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Prawie wszystko jak w instrkcji tylko nie mialem zainstalowane ask toolbar nie mogę usunąć SweetPacks Toolbar for Internet Explorer 4.4 wyskakuje błąd a to raport OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 A infekcja jak była tak jest. Kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [lbzfwoxgyopceen] C:\ProgramData\lbzfwoxg.exe () [2012-07-11 23:52:25 | 000,000,051 | ---- | M] () -- C:\ProgramData\nglexgdtqancgbq :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny. Odnośnik do komentarza
maveric Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 OK tym razem poszło Wielkie dzięki OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Teraz można powiedziec, że jest wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19272) "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
maveric Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Ok wszystko gra i hula jak powinno. Piękne dzięki. Ale jak Wy to ludzie robicie to ja nie wiem. Dzięki jeszcze raz Odnośnik do komentarza
Rekomendowane odpowiedzi