EverRest Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 Witam. Kilka dni temu mój PC został zainfekowany wirusem Ukash. W trybie awaryjnym z obsługą sieci komunikat o zapłaceniu 500 zł itd również nie znikał. Zatem uruchomiłem Win7 w trybie awaryjnym z wierszem poleceń i z msconfig z zakładki rozruch wybrałem opcje "bezpieczny rozruch". Po restarcie w trybie normalnym komunikat z policją już się nie pojawia. Odznaczyłem spowrotem opcje "bezpieczny rozruch". Przeskanowałem system nodem, zakutalizowałem jave i flash playera. I pojawił się inny problem. Otóż wszystkie przeglądarki czy to IE czy Mozilla czy Opera działają bardzo wolno. Na przykład wyszukiwanie w google trwa po 30 lub więcej sekund. Poza tym często permamentnie zawieszają się. Test prędkości na speedtest.net pokazuje poprawną wartość szybkości łącza ok. 60 Mb/s. I nie mam pomysłów jak to ugryźć może bardziej doświadczeni użytkownicy forum pomogą? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2012 Zgłoś Udostępnij Opublikowano 22 Października 2012 W systemie jest zainstalowane adware. Poza tym, infekcja UKASH wcale nie jest dokładnie wyczyszczona (ślady dwóch wariantów na dysku). 1. Przez Panel sterowania odinstaluj Ask Toolbar, Babylon toolbar, BabylonObjectInstaller, Browser Manager, Conduit Engine, DAEMON Tools Toolbar, Freecorder Toolbar, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.6. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\searchplugins C:\Windows\System32\Extensions C:\Users\Danieloski\AppData\Roaming\msconfig.ini C:\Users\Danieloski\AppData\Roaming\hellomoto C:\Users\Danieloski\AppData\Roaming\Anat C:\Users\Danieloski\AppData\Roaming\visviva C:\Users\Danieloski\AppData\Roaming\Ynizmu C:\Users\Danieloski\AppData\Roaming\toolplugin C:\Users\Danieloski\AppData\Roaming\YourFileDownloader C:\Users\Danieloski\AppData\Local\Temp*.html C:\Program Files\Common Files\AskToolbarInstaller.exe netsh advfirewall reset /C :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={4334BF42-AA8A-11E1-9CCF-001A4D9044E3}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=116777&tt=071012_17_4112_3&babsrc=SP_ss&mntrId=021e248f000000000000001a4d9044e3" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=A723EAE1-D2A3-49F9-9120-12C9A41EC05C&apn_sauid=A3BE5CC0-370E-4B3A-B89E-25641ABA963C" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={4334BF42-AA8A-11E1-9CCF-001A4D9044E3}" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll File not found SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pctvnet.sys -- (pctvnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pctvbus.sys -- (pctvbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pctvnet.sys -- (havanet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pctvkey.sys -- (BoosterKey) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions] "{b64982b1-d112-42b5-b1e4-d3867c4533f8}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz wklej do SystemLook: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s :dir C:\Users\Danieloski\AppData\Local\Microsoft\Windows /s Klik w Look. . Odnośnik do komentarza
EverRest Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Wielkie dzięki przeglądarki zaczęły działać poprawnie. Oto log z adwCleaner: AdwCleaner.txt OTL3.Txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Zapomniałeś dodać raport z SystemLook. Odnośnik do komentarza
EverRest Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 My mistake. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Wg SystemLook ostał się (choć już niepełny) jeszcze jeden katalog infekcji UKASH: C:\Users\Danieloski\AppData\Local\Microsoft\Windows\916 d------ [10:03 04/10/2012]e05e3744 --a---- 20564 bytes [10:03 04/10/2012] [10:03 04/10/2012] 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Danieloski\AppData\Local\Microsoft\Windows\916 :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pfc027.sys -- (SoC PC-Camera Service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD) Klik w Wykonaj skrypt. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{1392B8D2-5C05-419F-A8F6-B9F15A596612}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{1392b8d2-5c05-419f-a8f6-b9f15a596612}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
EverRest Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Wykryło jakiś jeden plik oto raport z Malwarebytes mbam-log-2012-10-23 (22-27-58).txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 1. Wyniki MBAM: wykrył starą instalkę FlashGet jako nośnik adware Cydoor (co jest zgodne z prawdą). Usuń ten archaizm z dysku. 2. Na zakończenie aktualizacja Windows, Adobe i Java: KLIK. Log notuje brak SP1 dla Windows 7 oraz wersje: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 21"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish . Odnośnik do komentarza
Rekomendowane odpowiedzi