Skocz do zawartości
dizzydom

Ukash - nagły atak

Rekomendowane odpowiedzi

Witam, mój laptop został zainfekowany ukashem. Załączam logi i proszę, jeżeli będzie to możliwe o napisanie mi, co powinienem zaktualizować/poprawić, aby w przyszłości ten dziad mnie ponownie nie zaatakował.

OTL.Txt

Extras.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tu już było coś manipulowane, bo nie ma w starcie wpisu infekcji. Opisz co robiłeś. W związku z tym zadaję już tylko wyczyszczenie resztek i odpadkowych wpisów:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\kasia\AppData\Roaming\hellomoto
C:\Users\kasia\AppData\Roaming\1812
C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\kdrxebu8.default\searchplugins\conduit.xml
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design TB Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=2&q="
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199"
SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon)
SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva398.sys -- (XDva398)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva392.sys -- (XDva392)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva391.sys -- (XDva391)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva390.sys -- (XDva390)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva385.sys -- (XDva385)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva365.sys -- (XDva365)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva349.sys -- (XDva349)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva288.sys -- (XDva288)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\vtany.sys -- (vtany)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\kasia\Downloads\Compressed\TacticalMu-Offical-Client-English\MuGuard\llck.sys -- (LLRING0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\kasia\AppData\Local\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Unlimited\Unlimited Cabal\Byakko.K32 -- (ByakkoDriver)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface Service.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Co zrobiłem ? Wykonałem pierwszy i drugi krok z podczepionego tematu (czyszczenie temporary files oraz usunięcie przywracania z dysków). Nic więcej. Oto log:

OTL.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobione.

 

1. Mini poprawka na domyślną wyszukiwarkę IE, bo coś się nie przestawiło. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz historyczne szczątki po ComboFix.

 

3. Ponownie wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi i to m.in. stara Java jest furtką dla infekcji:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Microsoft SQL Server 10 Release" = Microsoft SQL Server 2008

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl)

"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)

"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1

 

+ Service Pack dla Microsoft SQL Server 2005 (KB913089), Service Pack dla Microsoft SQL Server 2008 (KB968382)

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...