afc Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Witam, Pojawił się u mnie dość popularny ostatnio problem z ukash. Komputer zablokowany, proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Prócz UKASH, infekcja z nośników USB. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [taskbarcpl] C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\162\taskbarcpl.exe () O4 - HKCU..\Run: [{2FCBEF0C-0E51-7D57-4252-A2A80EB41A49}] C:\Documents and Settings\Krzysztof\Dane aplikacji\Tigyn\yqibla.exe () O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Temp\herss.exe () DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) :Files autorun.inf /alldrives C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\162 C:\Documents and Settings\Krzysztof\Dane aplikacji\hellomoto C:\Documents and Settings\Krzysztof\Dane aplikacji\Tigyn C:\Documents and Settings\Krzysztof\Dane aplikacji\Iml C:\WINDOWS\System32\Desktop_.ini netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
afc Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 OK, wykonałem podany wyżej skrypt i komputer się odblokował. Podaje wskazane logi: OTL.Txt UsbFix.txt usuwanie.txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Skrypt błędnie wykonany, pomyliłeś się i nie wkleiłeś prawidłowo początkowej dyrektywy :OTL, a skutki to: Error: Unable to interpret in the current context!Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Wymagana poprawka na to. Poza tym, pendrive jest nośnikiem infekcji, są na nim ukryte pliki infekcji. Pendrive rozniósł infekcję na wszystkie dyski (C + D). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [taskbarcpl] C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\162\taskbarcpl.exe File not found O4 - HKCU..\Run: [{2FCBEF0C-0E51-7D57-4252-A2A80EB41A49}] "C:\Documents and Settings\Krzysztof\Dane aplikacji\Tigyn\yqibla.exe" File not found O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\KRZYSZ~1\USTAWI~1\Temp\herss.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) :Files autorun.inf /alldrives wyskq6lt.exe /alldrives rd /s /q C:\RECYCLER /C rd /s /q D:\RECYCLER /C rd /s /q D:\$RECYCLE.BIN /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
afc Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Ok. Po wklejeniu skryptu z ramki, wyszło coś takiego: OTL.Txt po uruchomieniu.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Wszystko wykonane. Nowy log z USBFix nie wskazuje, by infekcja wróciła na urządzenia po usuwaniu. Przechodzimy do kolejnej fazy: 1. Od razu zabezpiecz przed infekcją typu autorun.inf. W Panda USB Vaccine nałoż zabezpieczenie na Windows (Computer Vaccination) oraz pendrive (USB Vaccination). Ta druga operacja stworzy na pendrive nieusuwalny zabezpieczający falsyfikat autorun.inf. 2. Porządki po narzędziach: W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę z trojanami, odinstaluj USBFix (już zbędny). 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
afc Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Wszystkie punkty wykonałem, Malwarebytes wykrył dwa zagrożenia: mbam-log-2012-07-15 (13-42-29).txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 1. Oba wyniki są z miotu infekcji z nośników USB. Usuń za pomocą MBAM. Następnie ponów czyszczenie folderów Przywracania systemu. 2. Wykonaj podstawowe aktualizacje: KLIK. Tutaj wykaz z Twijej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox) ----> możesz odinstalować PS. Gadu-Gadu 10 to ciężki okropnie duszący zasoby systemowe program. W artykule Darmowe komunikatory opisuję lżejsze przyjemniejsze obsługowo alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
afc Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Dziękuję bardzo za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi