Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem - Ukash, ten komputer został zablokowany

olijander

Przez olijander
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Był tutaj uruchamiany ComboFix i ani słowa o tym, a powinien być wklejony log z działania żeby było wiadomo co program robił. W logu brak śladów aktywnej infekcji więc coś ją usunęło.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\uxffvmh.sys -- (tvqq)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WinXP\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Files
C:\Documents and Settings\OAIIT\Dane aplikacji\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Odnośnik do komentarza
olijander

olijander

Opublikowano
  • Autor
Opublikowano (edytowane)

Witam. Tak byl uruchamiany Combo i za brak loga przepraszam. Dreczy mnie jeszcze pytanie czy znaczenia ma na ktorym koncie wykona sie OTL-a? Posiadajac dwa konta administratora i usera trojan uaktywnia sie jedynie na koncie usera. OTL-a zrobilem bedac zalogowanym na administratorze. Czy to ma znaczenie? ... biore sie wykonanie skryptu przeslanego. Dziekuje.

 

Wykonalem skrypt i nadal na koncie usera zlowroga informacja o zablokowaniu komputera :( Przedstawiam skan z OTL-a. Czy aby nie powinienem wykonac tych czynnosci w trybie awaryjnym na koncie usera?

 

hm...tyle ze w trybie awaryjnym nie mam mozliwosci wyboru konta usera. Oczekuje na fachowa informacje gdzie moze byc pies pogrzebany.

OTL.Txt

Edytowane przez picasso
Posty scalone. Proszę używać opcję Edytuj a nie tworzyć w serii posty własne.. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Dreczy mnie jeszcze pytanie czy znaczenia ma na ktorym koncie wykona sie OTL-a? Posiadajac dwa konta administratora i usera trojan uaktywnia sie jedynie na koncie usera. OTL-a zrobilem bedac zalogowanym na administratorze. Czy to ma znaczenie? ... biore sie wykonanie skryptu przeslanego. Dziekuje.

 

Oczywiście, że to ma znaczenie. Logi muszą pochodzić z konta na którym jest problem, gdyż wszystko jest inne = rejestr i katalogi. Tak więc proszę z poziomu Trybu awaryjnego zrobić logi z właściwego konta.

 

 

Czy uzyskam pomoc czy czeka mnie format?

 

A format to tak jakbyś strzelał do muchy z armaty. Przecież ta infekcja to prymityw!

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Dziekuje za info. W OTL-u jest jednak opcja "wszystkie konta". Ostatni log zostal wykonany z zaznaczeniem tej opcji. Czy to nie wystarczy? Proszę o analize owego loga.

 

Ale przecież te logi to myśmy obejrzeli... Nie, ta opcja nie służy do tego o czym myślisz, ona tylko dodaje fragmentaryczny skan pod kątem niektórych folderów. Ta opcja nie ładuje rejestru innych kont, jest przedstawiany rejestr konta z poziomu którego się zalogowano oraz nie widać innych folderów relatywnych do konta.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [whhelper] C:\Documents and Settings\OAIIT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4131\whhelper.exe ()
 
:Files
C:\Documents and Settings\OAIIT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4131
C:\Documents and Settings\OAIIT\Dane aplikacji\hellomoto
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj, ale go ogranicz, bo jest zbyt duży, tzn. zaznacz opcję Pomiń pliki Microsoftu. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...