Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z blokadą UKASH

picas2

Przez picas2
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Blokada UKASH to tylko jeden z problemów. Pomijając już to że są odpadki Live Security Platinum, w systemie są obiekty sugerujące rootkita Necurs:

 

SRV - [2012-09-15 23:30:18 | 000,070,144 | ---- | M] () [unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ce38f4e828997f2b.sys -- (ce38f4e828997f2b)
DRV - [2012-09-15 23:30:18 | 000,070,144 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ce38f4e828997f2b.sys -- (ce38f4e828997f2b)
DRV - [2012-09-15 23:30:16 | 000,070,144 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\194c278.sys -- (194c278)

 

 

1. Uruchom Kaspersky TDSSKiller. Zostaw akcje domyślne, a powinna to być dla wyniku Rootkit.Win32.Necurs.gen akcja Delete. Zresetuj system. Na C powstanie log z usuwania.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-09-15 23:30:14 | 000,365,568 | ---- | M] (Motion computing) [Auto | Stopped] -- C:\WINDOWS\Installer\{747506B3-6D2C-D954-9827-3AAB7810039C}\syshost.exe -- (syshost32)
IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=DAT&o=15240&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FD&apn_dtid=YYYYYYYYPL&apn_uid=FDE24DB1-2747-402A-B4C3-01C37042033B&apn_sauid=2692596F-19DB-4B4B-A30C-E30436483D1F"
IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
O2 - BHO: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\Toolbar\WebBrowser: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\Documents and Settings\Kacper\Dane aplikacji\msconfig.dat
C:\Documents and Settings\Kacper\Dane aplikacji\msconfig.ini
C:\Documents and Settings\All Users\Dane aplikacji\036E193202C2E1CE37E6D8E981CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\ajfncqmmpunkgfb
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Z usuwania powstanie log. Blokada zniknie i działasz już w Trybie normalnym Windows:

 

3. Odinstaluj adware:

- Otwórz Google Chrome. W Rozszerzeniach odinstaluj uTorrentControl2, Vid-Saver. Z listy stron startowych wymaż search.conduit.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Conduit na Google, po tym Conduit usuń z listy.

- Przez Dodaj / Usuń programy: Ask Toolbar, uTorrentControl2 Toolbar, Yahoo! Companion, Vid-Saver. Sugeruję też pozbyć się wątpliwych reputacją aplikacji Uniblue.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz logi, które utworzyły narzędzia podczas usuwania: TDSSKiller z punktu 1, OTL z punktu 2, AdwCleaner z punktu 4.

 

 

 

.

Edytowane przez picasso
17.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...