Skocz do zawartości
kubot7

UKASH - duży problem!

Rekomendowane odpowiedzi

Witam, sytuacja mojego komputera wygląda tak, ze wczoraj zostal zaatakowany przez tego Trojana i do dzisiaj nie moge sobie z nim poradzic. Podczas startowania systemu probowalem wciskac oraz przytrzymywac klawisz F8, ale klawiatura nie dziala, a komputer nie odpowiada. Probowalem takze wciskac F12 i wyskakuje mi okienko zebym wybral nastepujaca czynnosc jak wczytanie CDROM, USB czy tez FLOOBY, ale klawiatura wtedy znow przestaje dzialac. Jedyne w co moge wejsc to BIOS i tam jedynie co zdzialalem to zmiane wczytywania 1.CD; 2.Hard Disc i tym sposobem wczytala mi sie plyta, ktora wczesniej nagralem (Kaspersky Rescue Disc), przeskanowalem komputer, ale nic nie znalazl o.O Tak wiec uruchomilem komputer normalnie i okazalo sie, ze problem nadal jest ten sam. A wiec sprobowalem ponowic probe z plyta Kasperskiego, ale teraz gdy pojawia mi sie okno Kaspierskiego i prosi zeby wcisnac dowolny klawisz, aby system sie uruchomil klawiatura nie reaguje... HELP!!!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na problem klawiatury to my ci raczej nie pomożemy i z tym musisz sam się uporać. Albo podpiąć inną klawiaturę do komputera i wtedy działać albo zmienić rodzaj złącza. Nie piszesz jak jest podpięta czy przez USB czy przez PS/2. Jeśli przez USB to radzę sprawdzić w BIOS czy masz Support USB włączony na Enabled (aktywny).

 

Najlepiej by było aby udało ci się wejść w tryb awaryjny bo wtedy blokada nie działa. Napisz jeszcze jaki to system i ilu bitowy bo to ważne. Może spróbujemy wejść właśnie ze środowiska zewnętrznego

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Klawiatura podpieta na USB i faktycznie byla nieaktywna. Sugerujesz zeby jeszcze raz zadzialac Kasperskim, czy inaczej?

Vista 32 bitowa.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skan Kasperskym ci nic nie da. Miałem na myśli inne narzędzie, ale jeśli teraz ci działa to spróbuj wejść w tryb awaryjny z obsługą sieci i z jego poziomu wykonać logi. Możesz też odpiąć kabel sieciowy i wejść przez normalny tryb.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak jak mowiles wszedlem w tryb awaryjny z obsluga sieci, tylko czy moglbys mi powiedziec lub pokazac jak sie wykonuje te logi? Jestem laikiem w tych sprawach. Bede bardzo wdzieczny za pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-899994395-764980729-1231617272-1001\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=050412_30b&babsrc=KW_ss&mntrId=00bb99c6000000000000001fd0018487&q="
[2012-04-15 21:14:46 | 000,001,800 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\zjqu8175.default\searchplugins\funmoods.xml
[2012-04-15 21:12:30 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
 
:Files
C:\ProgramData\ijsutvti.exe
C:\ProgramData\koitunzrjmrgvcc
C:\ProgramData\dwmcbibmnzmfwfu
C:\Users\Piotr\0.7187969701657074.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6D3215B2-8217-483D-8EF0-D45439640646}]
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6D3215B2-8217-483D-8EF0-D45439640646}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6BAE986A-4347-4116-8674-0FA7AD9584B7}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"ijsutvtinetgpjv"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Conduit Engine / DAEMON Tools Toolbar / vShare.tv plugin 1.3 / Winamp Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Masz usuniętą infekcje. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witam, niedawno mój komputer został zainfekowany przez tego wirusa, ale zdołałem go usunąć. Proszę o sprawdzenie LOGów, czy wszystko zostało pomyślnie usunięte.

OTL.Txt

Extras.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

kubot7

- Proszę przeczytać zasady działu: KLIK. Duplikaty tematów są zabronione, a także mają skutki uboczne i temat może spaść jeszcze niżej w kolejce.

- Jesteś tu już po raz drugi z tą samą infekcją nabytą w tak krótkim czasie, tematy sklejam.

 

W aktualnych logach nie widzę śladów infekcji, ale nie napisałeś czym / jak usuwałeś infekcję. Drobne uwagi:

 

1.

CHR - default_search_provider: Search the web (Babylon) (Enabled)

CHR - default_search_provider: search_url = "http://search.babylon.com/?q={searchTerms}&tt=010412_crm&babsrc=SP_crm

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}"

 

W Google Chrome jest ustawiona jako domyślna wyszukiwarka adware. Wejdź do ustawień, w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na cokolwiek innego, po tym Search the web (Babylon) skasuj z listy.

 

2.

[2012-07-22 18:47:52 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

 

Przez SHIFT+DEL skasuj folder z dysku.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zasady działu już przeczytałem i będę sie do nich stosował w przyszłości. Przepraszam za problem.

Postąpiłem zgodnie z zaleceniami, dziekuję za pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Końcowe uwagi:

 

1. Jeśli tego nie zrobiłeś, wyczyść ponownie foldery Przywracania systemu.

 

2. Do aktualizacji są te pozycje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) ----> odinstaluj

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"Gadu-Gadu" = Gadu-Gadu 7.7

 

Gadu-Gadu 7.7 też wyliczam, gdyż to aplikacja o bardzo niskim poziomie bezpieczeństwa (brak szyfrowanych połączeń), a także niezgodna z własną siecią. Jeśli szukasz chudej szybkiej alternatywy z obsługą sieci Gadu, to poczytaj artykuł: Darmowe komunikatory. Pod uwagę opisy: WTW, Kadu, Miranda, AQQ (ale ten ma reklamy i nie taki "chudy").

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witam,

 

problem, z którym tutaj przychodzę objawia się następująco: po włączeniu komputera zacina się system i nie można nic zrobić. Myszka oraz klawiatura nie reagują. Jedyne co mi wtedy zostaje to wyłączenie/zrestartowanie komputera. Dzisiaj za trzecią próbą uruchomienia komputera zniknęły wszystkie ikony oraz pojawił sie czarny ekran z takową informacją: "Proces logowania nie może utworzyć okna dialogowego opcji zabezpieczeń. Niepowodzenie - opcje zabezpieczeń". Komunikat ten pojawił mi się pierwszy raz. Wczoraj np. podczas korzystania z komputera pojawił sie nagle niebieski ekran i komputer automatycznie sie wyłączył (niestety nie zdążyłem przeczytać co tam jest napisane gdyż działo się to bardzo szybko). Muszę zaznaczyć, że już kiedys mi się tak działo z komputerem, ale wystarczyło wyczyścić go z kurzu od środka i komputer dalej śmigał. Teraz jest juz czysty, ponieważ niedawno go bardzo dokładnie wyczyściłem, a mimo to problem powrócił. Dodam także, że komputer o wiele wolnej chodzi niż przedtem, wydaje mi się, że może mieć na to wpływ niedawny wirus jaki miałem "UKASH", ponieważ po tym wirusie owe skutki zdarzają sie przy każdym włączeniu komputera. Pilnie proszę o pomoc.

 

P.S.

Wirusa usunąłem przy wskazówkach jednego z moderatorów tego fora - "Landussem".

Logi wczoraj zostały sprawdzone przez "picasso" i nie wykryto żadnych błędów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pierwsze co się nasuwa po ocenie zawartości wczoraj dostarczonych logów: wpływ Panda Antivirus Pro 2012.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie, sugeruję testową deinstalację Pandy, by się przekonać czy błąd ustąpi. Wyłączenie nie wchodzi w grę w rozumieniu: nie da się wyłączyć Pandy (ani innych antywirusów podobnej budowy) na tyle kompletnie, by antywirusa wykluczyć jako przyczynę. Opcje po stronie użytkownika to zbyt mało, by zdeaktywować program (nadal się uruchamiają się sterowniki).

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W takim razie usuwam Pandę i napiszę za jakiś czas, czy przyniosło to porządane skutki.

Edytowane przez picasso
20.09.2012 - Upłynął miesiąc. Temat zamykam. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...