LTPS Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 Witam, mój komputer został zainfekowany "Ukashem", żadna z metod podanych przez CERT (http://www.cert.pl/news/5707) nie zadziałała, oto logi z OTL którego uruchomiłem w trybie awaryjnym z wiersza polecenia: OTL: http://pastebin.com/WtXrxEd3 Extras: http://pastebin.com/SVjfkf5A Dorzucam jeszcze raport z Autorunsu, może coś uda Wam się znaleźć wersja w pliku .arn: http://speedy.sh/mT6ck/AutoRuns.arn wersja tekstowa: http://pastebin.com/sAGayZY1 Proszę o pomoc i pozdrawiam, LTPS. Odnośnik do komentarza
Landuss Opublikowano 17 Września 2012 Zgłoś Udostępnij Opublikowano 17 Września 2012 (edytowane) 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{824289E7-C086-4BB3-82E0-60676B1725CD}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=E9B797CF-EFB6-490A-81B0-357D3FC04A70&apn_sauid=12876BFC-61BF-46AF-97B4-721FC5D3EFA6&" [2011/04/08 00:51:04 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found :Files C:\Users\user\AppData\Roaming\Zefyvi C:\Users\user\AppData\Roaming\Udut C:\Users\user\AppData\Roaming\Giet C:\Users\user\AppData\Roaming\msconfig.dat :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Edytowane 17 Października 2012 przez picasso 17.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi