Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ukash - problem taki sam jak innych(złamanie prawa...)

Matteo1989

Przez Matteo1989
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Niestety oprócz "Ukash" jest trojan ZeroAccess. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy skan.

Odnośnik do komentarza
Matteo1989

Matteo1989

Opublikowano
  • Autor
Opublikowano

Przedstawiam scan look.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:28 on 13/08/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\erdnt\cache\services.exe --a---- 108544 bytes [18:06 09/08/2012] [23:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

C:\WINDOWS\system32\services.exe --a---- 108544 bytes [23:44 03/08/2004] [23:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

C:\WINDOWS\system32\dllcache\services.exe --a--c- 108544 bytes [23:44 03/08/2004] [23:44 03/08/2004] 3DA8D964D2CC12EF8E8C342471A37917

 

-= EOF =-

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

ZeroAccess nie wygląda na aktywnego do końca więc tym lepiej dla ciebie.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
RV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\gqyletiq.dll -- (aervmiti)
SRV - [2004-08-04 01:44:02 | 000,082,080 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\gqyletiq.dll -- (qkvbad)
SRV - [2004-08-04 01:44:02 | 000,082,080 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\gqyletiq.dll -- (baktvg)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
O4 - HKLM..\Run: [broadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe File not found
O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found
O4 - HKLM..\Run: [serialui] C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3985\serialui.exe ()
 
:Files
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\hellomoto
C:\Documents and Settings\All Users\Dane aplikacji\529C50846D5BD5F75EFFE2858DB91C90
C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3985
C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\{98329357-e2c2-0157-36f7-89b460d9ee2a}
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

 

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / WeFiBar Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Wykonaj kolejny skrypt - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O4 - HKCU..\Run: [Yxhuvozoqu] C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Zoria\zaih.exe (M-Audio)
 
:Files
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Zoria
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Urruov
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Yqanr
C:\Documents and Settings\All Users\Dane aplikacji\6F638BC82B17D979A7C6D2B94A174311
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Edytowane przez picasso
14.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...