wuwunio Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Laptop zablokowany przez Ukasha logi poniżej: POMOCY!!! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Logi zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: ASIA-7A2BA68FD4 | User Name: Administrator | Logged in as Administrator. To konto nawet nie było czynne przed akcją (świeży zrzut katalogu o nazwie "Administrator" na dysk). Konta mają inne rejestry i foldery, co oznacza niewidzialność określonych wpisów między kontami. Tu tylko na zasadzie przypadku widać wpis startowy infekcji, ale nie zmienia to faktu, że wpisy na właściwym koncie nie są sprawdzone. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lsass.exe C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Menu Start\Programy\Autostart\oexuf.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\301B5 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\CUSDHDGA C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\d1dac69 C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\bsbandmltbpi C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\CleanUp Antivirus C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\Fighters C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\searchquband C:\Program Files\mozilla firefox\searchplugins\v9.xml netsh firewall reset /C :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mrt.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfwsvc.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OcHealthMon.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winss.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winssnotify.exe] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinSSUI.exe] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329747175_434900 IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=101&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={4E909EA7-4760-4870-BE3A-8836C692F267}&q={searchTerms}&barid={4E909EA7-4760-4870-BE3A-8836C692F267}" O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~3\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found [2007-11-05 23:53:08 | 000,000,000 | ---D | M](C:\Documents and Settings\aska\Dane aplikacji\?racle) -- C:\Documents and Settings\aska\Dane aplikacji\Оracle [2007-08-24 20:44:25 | 000,000,000 | ---D | M](C:\Program Files\Common Files\?racle) -- C:\Program Files\Common Files\Оracle [2007-08-14 22:19:29 | 000,000,000 | ---D | M](C:\WINDOWS\System32\?racle) -- C:\WINDOWS\System32\Оracle :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Logujesz się na właściwe konto. 2. Masakra w antywirusach. Są zainstalowane równegle dwie kobyły avast! Free Antivirus + Norton Internet Security. Jeden z nich do deinstalacji. Przy okazji możesz odinstalować i niepełnosprawny skaner Norton Security Scan. Dodatkowo, w tle uruchamiają się sterowniki ESET. Zastartuj do Trybu awaryjnego i zastosuj usuwacz ESET Uninstaller. 3. Odinstaluj adware Ask Toolbar, Ask Toolbar Updater, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.4. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj. Dołącz log z usuwania AdwCleaner. . Odnośnik do komentarza
wuwunio Opublikowano 16 Października 2012 Autor Zgłoś Udostępnij Opublikowano 16 Października 2012 Zrobione Extras.Txt OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 Niestety nie koniec czyszczenia. Teraz logi są z właściwego konta i na nim działa dodatkowa infekcja, a poza tym są jeszcze odpadki adware. Przy okazji będę usuwać odpadki po Google Chrome, które wygląda na odinstalowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-448539723-1614895754-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329747175_434900 O3 - HKU\S-1-5-21-448539723-1614895754-725345543-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [iNPROCOMMWireless] C:\Program Files\Atheros\Wireless\Utility\WlanUtil.exe File not found O4 - HKU\S-1-5-21-448539723-1614895754-725345543-1005..\Run: [rcwlkad] C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Ustawienia lokalne\Dane aplikacji\qqidri.exe () O4 - Startup: C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Menu Start\Programy\Autostart\oexuf.exe () O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found [2007-11-05 23:53:05 | 000,000,000 | ---D | M](C:\Documents and Settings\aska\Dane aplikacji\?racle) -- C:\Documents and Settings\aska\Dane aplikacji\Οracle [2012-02-20 14:17:05 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\Mozilla\Firefox\Profiles\ezewkzbg.default\searchplugins\sweetim.xml :Reg [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Ustawienia lokalne\Dane aplikacji\Google :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i na Pulpit przenieś poniższy plik: C:\Documents and Settings\andrzej.ASIA-7A2BA68FD4\Dane aplikacji\Mozilla\Firefox\Profiles\ezewkzbg.default\prefs.js Uruchom Firefox, utworzy nowy czysty prefs.js. Ustawienia typu strona startowa musisz ręcznie przekonfigurować w opcjach. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
wuwunio Opublikowano 16 Października 2012 Autor Zgłoś Udostępnij Opublikowano 16 Października 2012 Zrobione OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 (edytowane) 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Przeniesiony na Pulpit prefs.js już bezużyteczny i też usuń. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 16 Listopada 2012 przez picasso 16.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi