Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Weelsof-Ukash

tedejerox

Przez tedejerox
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Tylko tutaj problem jest nieco gorszy. W OTL widnieje usługa Sality:

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pjjhn.sys -- (amsint32)

 

To wirus infekujący pliki .exe na całym dysku. Nie wiadomo czy infekcja jest aktywna a jeśli tak to w jakim stopniu.

 

Zaś infekcji "Ukash" nie notuję w logach. Czy coś tutaj już nie usuwałeś?

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\PavTPK.sys -- (PavTPK.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pjjhn.sys -- (amsint32)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http: //search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757
IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757
IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http: //search.v9.com/web/?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..browser.search.selectedEngine: "v9"
FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757"
[2012-07-14 17:12:39 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
[2012-07-14 18:42:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\junior\Dane aplikacji\OpenCandy
 
:Files
autorun.inf /alldrives
sdax.exe /alldrives
eqsvs.exe /alldrives
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Wejdź w panel usuwania programów i odinstaluj: V9 Homepage Uninstaller

 

5. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy SalityKiller coś wykazał.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...