Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus UKASH

FRED1974

Przez FRED1974
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Skoro masz CD z OTL, to podpinasz pod ten komputer. Następnie wchodzisz w Tryb awaryjny z obsługą Wiersza polecenia i w linii komend wpisujesz ścieżkę do OTL.exe na CD. Czyli jeśli CD to powiedzmy przykładowo litera X:, a OTL.exe był zgrany bezpośrednio na płytę (nie w podfolderze), to w linii komend wpisujesz X:\OTL.exe i ENTER, co uruchomi program.

 

 

 

.

Odnośnik do komentarza
FRED1974

FRED1974

Opublikowano
  • Autor
Opublikowano

Narzędzie FRST zgrywałem na Pendrive z 2 komputera. Podłaczyłem przenośny pendrive z tymże narzędziem do zainfekowanego kompa,

Uruchomiłem tryb awaryjny z wierszem polecenia (tylko ten nie pokazuje białego ekranu), wpisałem F:\frst.exe i pokazał mi planszę , wrzuciłem skan i zrobił FRST.txt, który załaczylem.

Narzędzie OTL zgrałem także na płytę CD-R, ale niestety podłaćzając pod zainfekowany komp płytę niestety nie idzie jej uruchomić, może nie potrafię znaleźć skrótu do wpisania, ale wydaje mi się ze wogóle nie chodzi teraz odtwarzacz CD, niewiem co robić.

 

A powiedz mi proszę jedną rzecz, bo taki wirusik dopadł mnie poraz 2 w krotkim czasie, wcześniej udało mi się uruchomić system (dzięki Twojej pomocy rzecz jasna), wygenerować OTL.txt oraz EXTRAS txt i mam to. Czy może na podstawie tego uda się uruchomić?

Co myślisz o tym, bo na moje "chłopskie myslenie" ten sam wirus, te same szkody pewnie i ta sama diagnoza może być.

Czy mam podesłać te stare?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Uruchomiłem tryb awaryjny z wierszem polecenia (tylko ten nie pokazuje białego ekranu), wpisałem F:\frst.exe i pokazał mi planszę , wrzuciłem skan i zrobił FRST.txt, który załaczylem.

 

Tryb awaryjny to nie jest opcja środowiska zewnętrznego i nie współgra to z FRST. FRST potrzebuje środowiska WinRE czyli F8 > Napraw komputer. Czy Ty w ogóle widzisz taką opcję w menu F8?

 

 

A powiedz mi proszę jedną rzecz, bo taki wirusik dopadł mnie poraz 2 w krotkim czasie, wcześniej udało mi się uruchomić system (dzięki Twojej pomocy rzecz jasna), wygenerować OTL.txt oraz EXTRAS txt i mam to. Czy może na podstawie tego uda się uruchomić?

Co myślisz o tym, bo na moje "chłopskie myslenie" ten sam wirus, te same szkody pewnie i ta sama diagnoza może być.

Czy mam podesłać te stare?

 

Nie, stare logi kompletnie nieaktualne. Jest mnóstwo wariantów tej infekcji, a infekcja ma charakterystykę losową.

 

 

Ciężko nam idzie. Ten podany log z FRST jest niestety niepełny, nie ma w ogóle rejestru przeskanowanego, tylko pliki na dysku pokazane. Na dodatek nie ma pewności czy to jest pełny spis plików, bo na dysku widać infekcyjny msconfig.ini ale nie msconfig.dat (który powinien siedzieć w wartości Shell). W tej sytuacji mogę zadać jedynie usuwanie samych plików (dośpiewując niektóre dane), rejestr potem będzie czyszczony (na razie brak danych).

 

1. Zastartuj do Trybu awaryjnego z Wierszem polecenia i w linii komend wpisz po kolei poniższe komendy (po każdej ENTER):

 

del /q C:\Users\Krzysztof\0.6877551491134125.exe

del /q C:\ProgramData\jylhvozanamqqvf

del /q C:\Users\Krzysztof\AppData\Roaming\msconfig.ini

del /q C:\Users\Krzysztof\AppData\Roaming\msconfig.dat

 

2. Po wykonaniu tych działań sprawdź czy dasz radę zalogować się do Windows (przy logowaniu mogą się pojawić błędu braku plików). Jeśli tak, to zrób nowe logi OTL (pobierz najnowszą wersję narzędzia).

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

FRED1974, do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. To nie jest pełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

Dobrze sobie dośpiewałam msconfig.dat, którego FRST jakoby nie pokazywał. :P Idziemy dalej, bo jest tu co czyścić jeszcze:

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar. Powtórz deinstalację tego w Firefox w Dodatkach.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Users\Krzysztof\0.6877551491134125.exe
C:\Windows\System32\notepad
 
:OTL
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53798
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log, który utworzył AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Log z AdwCleaner miałeś dołączyć w poście a nie wklejać jego zawartość w oknie OTL! Przejdź do tej porcji czynności:

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{2DBDD5B2-7587-42CD-9DA2-E50426E2D83E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D16A3C74-412F-4CEA-81F2-6B81599F26BE&apn_sauid=3D78F119-5A8B-419F-95A4-AB10ADE8B55C"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Czyszczenie po narzędziach po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Edytowane przez picasso
25.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
  • 1 miesiąc temu...
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Temat doklejam do poprzedniego. Nie zgłosiłeś się wtedy, by prawidłowo zakończyć temat ... A tu podane logi są nieprawidłowe i je usunę:

 

- Log z FRST ani potrzebny, ani prawidłowo wykonany. Przecież uruchomiłeś go spod Windows:

 

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

 

Narzędzie działa poprawnie tylko z poziomu środowiska zewnętrznego, nie spod Windows.

 

- To nie jest log z OTL tylko z OTLPE (zintegrowana przestarzała wersja OTL 3.1.48.0), na dodatek też uruchomionego spod Windows, a to nie służy do robienia logów spod Windows.

 

Proszę pobrać standardowy OTL i zrobić prawidłowe logi: KLIK. Logi mają być dwa: główny + Extras (opcja"Rejestr - skan dodatkowy" mabyćustawiona na "Użyj filtrowania").

 

 

.

Edytowane przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...