Infekcje Ukash, Live Security Platinum ...

[lutorx]

Witam jako kolejny (nie)szczęśliwy posiadacz wirusa. W trybie awaryjnym powyłączałem w msconfig. W załączeniu przesyłam raporty.

Bardzo proszę o skrypt, żebym mógł zasnąć spokojnie;)

 

pozdrawiam!

 

avira znalazła jakieś zainfekowane pliki, ale na nic się to zdało. W konfiguracji systemu zlokalizowałem element startowy, przez który wyskakuje komunikat ukash - jest to plik UIAutomationCore, póki co wyłączyłem go.

Proszę o pomoc...

Extras.Txt

OTL.Txt

[picasso]

W konfiguracji systemu zlokalizowałem element startowy, przez który wyskakuje komunikat ukash - jest to plik UIAutomationCore, póki co wyłączyłem go.

 

W OTL tego nie widać, gdyż OTL domyślnie nie skanuje msconfig. Poproszę o skan dodatkowy. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s

 

Klik w Look. Przedstaw raport wynikowy.

 

 

 

.

[lutorx]

Raport wynikowy:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:48 on 25/07/2012 by Piotrek

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig]

(No values found)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

(No values found)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

(No values found)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

"item"=""

"hkey"="HKCU"

"command"=""

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIAutomationCore]

"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

"item"="UIAutomationCore"

"hkey"="HKLM"

"command"="C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3947\UIAutomationCore.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\state]

"system.ini"= 0x0000000000 (0)

"win.ini"= 0x0000000000 (0)

"bootini"= 0x0000000000 (0)

"services"= 0x0000000000 (0)

"startup"= 0x0000000002 (2)

 

 

-= EOF =-

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3947
C:\Documents and Settings\Piotrek\Dane aplikacji\hellomoto
C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\73nup1ou.default\searchplugins\startsear.xml
C:\Program Files\mozilla firefox\searchplugins\fast.png
C:\Program Files\mozilla firefox\searchplugins\zwangi119.xml
C:\Program Files\mozilla firefox\searchplugins\zwangi125.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\Startupreg\UIAutomationCore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
IE - HKLM\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0470044c-0648-11e1-bd27-00196691d739&q={searchTerms}"
IE - HKCU\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = "http://www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={9001FEE4-1F06-4447-93BE-1B52F5C7E5F0}"
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | Auto | Stopped] -- System32\drivers\aspi32.sys -- (Aspi32)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware / staroci / zbędników:

- Przez Panel sterowania odinstaluj adware FoxTab FLV Player, vShare.tv plugin 1.3 (tak, wtyczka jest nośnikiem), przestarzałe aplikacje Skaner on-line mks_vir i Vtune 6.7 oraz McAfee Security Scan Plus (wątpię w celową instalację, prawdopodobnie przemyt jako sponsor Adobe).

- Otwórz Firefox i w Dodatkach odmontuj adware Zwangi.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

.

 

[lutorx]

jest już ok, dzięki!

[picasso]

Ale tu nie koniec czyszczenia. Teraz dostarczasz dane:

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

[lutorx]

Dorwał mnie kolejny trojan Live Security Platinum, próbowałem go usunąć metodą z youtube, ale po ponownym uruchomieniu wraca z powrotem. Skanowałem Hitmanem,kasperskim itp

Wrzucam nowy OTL (extras nie wyskoczył)

Proszę o pomoc.

pozdrawiam:)

 

edit: udało mi się z nim w miarę uporać, tak, że już nie wyskakuje po restarcie kompa. Mimo wszystko prosiłbym o zajrzenie do OTL czy wszystko jest ok.

OTL.Txt

[Landuss]

Jest dobrze i nie ma tutaj co robić, finalizacja:

 

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder z dysku: C:\Documents and Settings\All Users\Dane aplikacji\6C82D1081A93143EE2942E9881CB3EF3

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[lutorx]

super, dzięki za pomoc!