Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus ukash

arturro

Przez arturro
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Gdzie spowiedź? Uruchamiałeś ComboFix, log nie podany, a w przypadku trudności nie opisane co się działo (mimo że zasady działu na to naciskają w takim przypadku), a na temat uruchomienia nienadzorowanego: KLIK. Następnie, uruchamiałeś skrypt do OTL - skrypty w innych tematach oczywiście nie będą działać, bo są zrobione tylko pod ten system na podstawie raportów z tegoż (wszystko się różni). Logi z OTL zrobione z poziomu złego konta, wbudowanego w system Administratora:

 

Computer Name: KAROLINKA | User Name: Administrator | Logged in as Administrator.

 

To konto nawet nie było czynne przed akcją, widać świeże zrzucenie na dysk folderu "Administrator". Logi muszą pochodzić z konta, na którym jest problem. Rejestry kont i katalogi są różne.

 

 

Prócz infekcji UKASH są tu ślady aktywności rootkita w MBR dysku.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\ranek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3465\TabbtnEx.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Files
C:\Documents and Settings\ranek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3465
C:\Documents and Settings\ranek\Dane aplikacji\hellomoto
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F020001D1ED002110BC0CDF10C2
netsh firrewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy obowiązkowy GMER. Dołącz log z usuwania OTL z punktu 1 i (o ile jest na dysku) log C:\ComboFix.txt.

 

 

 

.

Edytowane przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...