Skocz do zawartości

UKASH (niemiecki) co robic?


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Twój post został wydzielony w nowy temat.

 

Nie wygląda na to, że logi zostały zrobione z poziomu właściwego konta. Logi zrobione z poziomu Trybu normalnego (czyli nie było blokady w momencie ich tworzenia), a w logach tylko jeden wpis startowy. Ów wpis kieruje na folder C:\Users\ROBERT1, ale zalogowane konto to Malinka. Konta mają inne rejestry i foldery, logi muszą być zrobione z poziomu konta zainfekowanego. Aktualnie mogę wyczyścić tylko to co widzę (i to nie wszystko co zapewne utworzyła infekcja, ale to można ujrzeć tylko będąc zalogowanym na właściwym koncie).

 

 

1. Z poziomu konta Malinka uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O4 - HKLM..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe ()
O4 - HKCU..\Run: [LG LinkAir]  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zaloguj się na konto Robert i zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza

Apropos kazałeś = jestem kobietą. Nowy log = jak mówiłam, mamy tu co czyścić, bo jest teraz zalogowane właściwe konto i widać więcej. Oczywiście akcja z poziomu konta ROBERT1:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
O4 - HKCU..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe File not found
[2012-09-20 15:50:19 | 000,000,000 | -HSD | C] -- C:\Users\ROBERT1\AppData\Roaming\System
[2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Ywzali
[2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Xeti
[2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Gipy
[2012-09-20 15:50:26 | 000,291,912 | -HS- | M] () -- C:\Users\ROBERT1\AppData\Roaming\rt1.png
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

Odnośnik do komentarza

Zadania pomyślnie wykonane. Kolejna porcja zadań:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz szczątki nieprawidłowo usuniętego ComboFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Zaprezentuj raport z ewentualnymi zagrożeniami. Od razu mówię, wykryje poniższe (to ... ekhm ... crack do Office):

 

[2011-06-29 14:31:35 | 000,151,552 | ---- | C] () -- C:\Windows\KMService.exe

[2011-06-29 14:31:35 | 000,008,192 | ---- | C] () -- C:\Windows\SysWow64\srvany.exe

 

 

.

Odnośnik do komentarza

Dziękuję za kwiatek.

 

1. Wyniki MBAM: nic szczególnego, cracki oraz adware (SoftonicDownloader..., FLVPlayerSetup.exe). Ostrzegałam Cię, że KMService zostanie wykryty, jednak usunąłeś to. Przy okazji: pominęłam pozycję vShare.tv plugin 1.2 na Twojej liście zainstalowanych. Usuń to, te wtyczki vShare / LiveVDO to siedlisko adware.

 

2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Tu z Twojego loga wersje zanotowane w Twoim systemie aktualnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)

"Opera 12.01.1532" = Opera 12.01

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...