Ukash po raz kolejny

[Crowli]

Witam wczoraj zostałem zatakowanym Ukashem.

Działania podjęte chronologiczniei.

1. Wejście na strone ekinotv (nauczka na następny raz nie szukać żonie filmu na dobranoc).

2. Infekcja.

3. Reset komputera wejście w tryb awaryjny.

4. Wejście w rejestrkonfiguracji systemu (komenda msconfig)

5. wyłaczenie wirusa i usunięcie katalogu z nim włącznie.

6. sprawdzenie jakie nowe katalogi pojawiły się od powsatania wirusa i usnięcie katalogu automoto z ustawień lokalnych.

7. właczenie otl + zrobienie raportów.

8. właczenie gmr + zrobienie raportu.

 

Proszę o sprawdzenie czy coś nie zostało w rejestrze (moja wiedza nie sięga tak daleko) i jeżeli istnije możliwość o poradę jak sie ustrzec następnym razem

przed czymś takim gdyż moja wiedza jednak okazała się zawodna.

 

Z poważaniem:

Crowli

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

W raportach nie widać już żadnych składników infekcji. Niemniej:

 

 

4. Wejście w rejestrkonfiguracji systemu (komenda msconfig)

5. wyłaczenie wirusa i usunięcie katalogu z nim włącznie.

 

Poproszę o skan zawartości msconfig (OTL domyślnie tego nie pokazuje). Uruchom SystemLook i w oknie wklej:

 

:Reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look.

 

 

 

.

[Crowli]

Dodaje raport z systemlook-a.

Kilka słow wyjaśnienia (sorry za skróty myślowe speedigonsalesa):

1. Wszedłem w msconfig i tam odznaczyłem uruchamianie się pliku z virusem (jak by to nie zadziałało to bym szczelił formata i też by było po problemie - taki miałem punkt widzenia ale na szczęscie zadziałało)

2. znalazłem po ścieżce dostęu z msconfig katalog z virusem i skasowałem cały katalog (shift + del).

3. uruchomiłem opcję wyszukaj i poszukałem plików zmienionych po ataku virusa i znalazłem ich tam kilka ale wszystkie były raczej w tempach poza automoto (lub otomoto) i go

wykasowałem.

 

Wczoraj wieczorem jeszcze przed pójściem spać wyczyściłem kompletnie:

- tempy

- kopie zapasowe na dysku

- kosz.

 

Z poważaniem:

Crowli

SystemLook.txt

[picasso]

W msconfig widoczny gagatek:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TURegOpt]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="TURegOpt"
"hkey"="HKLM"
"command"="C:\Documents and Settings\Crowli\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\249\TURegOpt.exe"
"inimapping"="0"

 

Rozumiem, że cały katalog C:\Documents and Settings\Crowli\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\249 zaliczył grób, to zostało tylko wycięcie wpisu z wyłączonych w msconfig.

 

1. Start > Uruchom > regedit i z prawokliku skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TURegOpt

 

2. O ile już tego nie zrobiłeś, wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobne rzeczy do aktualizacji, tzn.:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9

 

O ile Java linii 7 jest najnowsza, to nie Java linii 6.

 

 

 

.

[Crowli]

Witam.

Rejestr zrobiony.

Jeżeli chodzi o jave to na bierząco aktualizuje i nie wiem czemu jakieś śmieci z java 6 zostały.

 

Uważam temat za zamknięty i pragnę podziękować Picasso i całemu team-owi FixitPC za pomoc.

 

Z poważaniem:

Crowli

[picasso]

Jeżeli chodzi o jave to na bierząco aktualizuje i nie wiem czemu jakieś śmieci z java 6 zostały.

 

Javy są dwie, Java 7 i Java 6, każda aktualizowana z osobna, bo to dwie odrębne linie rozwojowe. O ile linia 7 jest u Ciebie najnowsza, to linia 6 o numer w tył. I to o aktualizację szóstki tu chodzi.

 

 

Temat rozwiązany. Zamykam.

 

 

 

.