Piotrek89 Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Pojawił się u mnie problem z ukash "Komputer został zablokowany z powodu naruszenia prawa polskiego". Komputer działa obecnie w trybie awaryjnym. System Windows 7 32-bit. Oto moje logi: OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Czy to na pewno log z właściwego konta użytkownika, a może już coś usuwałeś np. Avastem? W logach brak oznak tej infekcji, żadnego wpisu startowego nie widać ... Odnośnik do komentarza
Piotrek89 Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Atak na komputer miał miejsce na jednym z kont użytkownika. W trybie awaryjnym nie miałem możliwości wybrać konta, więc uruchomiłem skan w otl.exe dla wszystkich użytkowników. Wygląda jednak na to, że za bardzo pośpieszyłem się z wysyłaniem loga, bo po ponownym uruchomieniu komputera nie było po wirusie śladu. Antywirus wychwycił podejrzaną aplikację, podczas gdy próbowała zadziałać i na ten moment przebywa ona w kwarantannie. Uruchomiłem skan podczas działania systemu, a obecnie jeszcze skanuje podczas ponownego uruchomienia. Będę musiał monitorować przez najbliższy czas ten komputer. Rano będę edytował posta i wtedy wyślę też nowsze logi dotyczące tego komputera Powodem stwierdzenia, że mógł być to ten ukash jest to, że pojawił się u mnie ten problem na drugim komputerze niemal w tym samym czasie. Jeszcze jednak nie napisałem tematu dotyczącego tego problemu. Odnośnik do komentarza
picasso Opublikowano 28 Września 2012 Zgłoś Udostępnij Opublikowano 28 Września 2012 Wygląda jednak na to, że za bardzo pośpieszyłem się z wysyłaniem loga, bo po ponownym uruchomieniu komputera nie było po wirusie śladu. Antywirus wychwycił podejrzaną aplikację, podczas gdy próbowała zadziałać i na ten moment przebywa ona w kwarantannie. Podaj raport z antywirusa, co i gdzie wykryte. W trybie awaryjnym nie miałem możliwości wybrać konta, więc uruchomiłem skan w otl.exe dla wszystkich użytkowników. Nie, ta opcja to nie jest prawdziwy skan "wszystkich użytkowników". Rejestr danego użytkownika jest załadowany tylko wtedy, gdy też użytkownik jest zalogowany. A że każdy użytkownik ma inny rejestr, logi z OTL muszą być robione z poziomu danego zalogowanego konta. . Odnośnik do komentarza
Piotrek89 Opublikowano 28 Września 2012 Autor Zgłoś Udostępnij Opublikowano 28 Września 2012 Przepraszam, że tak długo to trwało. Zrobiłem skan programem antywirusowym, a następnie programem OTL i GMER. Z programu antywirusowego zamieszczam 2 zrzuty ekranu oraz plik tekstowy, w którym zawarty jest raport ze skanowania przy uruchomieniu. Niestety większość wirusów zostało usuniętych, a nie przeniesionych do kwarantanny, a to może być problemem podczas ustalenia przyczyny ataku wirusa. Pierwszy skan podczas pracy systemu http://imageshack.us/photo/my-images/26/podczaspracysystemu.jpg/ Drugi skan przy ponownym restarcie http://imageshack.us/photo/my-images/14/przyponownymuruchomieni.jpg/ OTL i GMER zostały uruchomione na koncie użytkownika, na którym miał miejsce atak wirusa i były wykonane po skanowaniu programu antywirusowego. Opiszę problem odnośnie innego komputera w drugim temacie. Skan Avast przy uruchomieniu systemu.txt OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Log z GMER robiłeś w złym środowisku, przy czynnym sterowniku SPTD od emulatora napędów wirtualnych (KLIK). Ale zostaw to już. DRV - [2012-02-11 20:47:04 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Z programu antywirusowego zamieszczam 2 zrzuty ekranu oraz plik tekstowy, w którym zawarty jest raport ze skanowania przy uruchomieniu. Pierwszy obrazek: wyniki infekcyjne w lokalizacji tymczasowej (prewencyjnie będę Temp i tak zbiorczo czyścić). Drugi obrazek: nic szczególnego, Avast widzi obiekty w określonych instalatorach, o ile adware OpenCandy w SUPER to prawda, to ten drugi wynik nie jest dla mnie jasny. Log tekstowy: pomijając błędy w instalatorach, to tylko wynik w cache Java zdaje się być zagrożeniem. Ogólnie: żaden z pokazanych wyników nie pochodzi od infekcji UKASH. W podanych logach nie ma oznak infekcji, ale wykonaj te działania: 1. Odinstaluj: 1ClickDownloader (adware), Skaner on-line mks_vir (martwy archaiczny skaner). 2. Drobny skrypt pod kątem mikro elementów adware, wpisów pustych oraz czyszczenia lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-2788389910-1900061690-2230786427-1004\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - No CLSID value found O3 - HKU\S-1-5-21-2788389910-1900061690-2230786427-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2788389910-1900061690-2230786427-1004\..\Toolbar\WebBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found. O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) [2012-09-23 01:31:51 | 000,000,000 | ---D | M] (OneClickDownloader) -- C:\Users\mik\AppData\Roaming\mozilla\Firefox\Profiles\extensions\OneClickDownload@OneClickDownload.com :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Do oceny wystarczy tylko ten log z wynikami usuwania. Nowy skan OTL zbędny. . Odnośnik do komentarza
Piotrek89 Opublikowano 30 Września 2012 Autor Zgłoś Udostępnij Opublikowano 30 Września 2012 Przepraszam za opóźnienie w udzieleniu odpowiedzi. Już mi się wydawało, że nie otrzymam pomocy w analizie raportów i nie śpieszyło mi się odwiedzić tej strony. Miałem jakiś czas temu zainstalowany program alcohol 120%. Usunąłem teraz sterownik SPTD metodą 1 (podpunkty 1 i 2). Nie wiem ile jest pracy z usuwaniem tego cache od Java. Podjerzewam, że monit o aktualizjacji java (który tak naprawdę jest wirusem) może przeszkadzać innym użytkownikom komputera i z tego powodu chętnie bym się tego pozbył (dodam, że infekcja prawdopodobnie miała miejsce ponad rok temu). Choć szukałem, nie spotkałem się w internecie ze sposobem usunięcia tego problemu. 09302012_120008.log.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Skrypt wykonany, zamknij prawidłowo temat: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizj wyliczone poniżej aplikacje: KLIK. Aktualnie zanotowane w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7 Update 1"{32A3A4F4-B792-11D6-A78A-00B0D0170000}" = Java SE Development Kit 7"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Gadu-Gadu" = Gadu-Gadu 7.7 - Te stare Java po prostu hurtem odinstaluj, w razie potrzebny wprowadź w system najnowszą wersję. - Gadu-Gadu 7.7 tu zakreślone, gdyż aplikacja jest przestarzała, niepełnosprawna (brak pełnej obsługi własnej sieci), słabo zabezpieczona (brak szyfrowania). Do rozważenia alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. Nie wiem ile jest pracy z usuwaniem tego cache od Java. Podjerzewam, że monit o aktualizjacji java (który tak naprawdę jest wirusem) może przeszkadzać innym użytkownikom komputera i z tego powodu chętnie bym się tego pozbył (dodam, że infekcja prawdopodobnie miała miejsce ponad rok temu). Choć szukałem, nie spotkałem się w internecie ze sposobem usunięcia tego problemu. Cache Java już wyczyszczone ... Najpierw Avast z niego usuwał obiekt, potem w skrypcie czyściłam pliki temp, a komenda [emptytemp] zawiera podkomendę [emptyjava]. Wyniki przetwarzania skryptu: [EMPTYTEMP] User: krz->Java cache emptied: 0 bytes User: mik->Java cache emptied: 425683325 bytes A alert o aktualizacji Java słuszny, jak wskazuję w wątku powyżej. . Odnośnik do komentarza
Piotrek89 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 Najważniejsze programy już zakutalizowałem do najnowszych wersji, zostało tylko GG. To chyba wszystko, więc dziękuje za pomoc Wypadałoby z mojej strony wspomóc forum. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi