Skocz do zawartości

Wirus UKASH (Polska Policja departament)


Rekomendowane odpowiedzi

Witam

Otóż koleżanka mojej mamy dała mi laptop do sprawdzenia pod kątem wirusów jak to zwykle bywa w tych czasach.

Po zalogowaniu się od razu wyskoczył UKASH,tak więc pojechałem tryb awaryjny.

Pełny skan Dr.Web Cure It.

Rezultaty:

Wykryło kilka odmian ukasha,dwa backdory,oraz kilka exploitów na jave i pdf.

Wszystkie usunąłem,jak na razie nie widzę aby się ponownie pojawił,ale chce aby logi zostały sprawdzone przez specjalistę :)

Pozwoliłem sobie zrobić opcjonalny skan Security Check

.Logi zamieszczam poniżej :)

 

 

 

Results of screen317's Security Check version 0.99.54

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Norton Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Java 6 Update 30

Java version out of Date!

Adobe Flash Player 11.4.402.287

Adobe Reader 9 Adobe Reader out of Date!

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

Google Chrome 22.0.1229.79

Google Chrome 22.0.1229.92

Google Chrome 22.0.1229.94

````````Process Check: objlist.exe by Laurent````````

Norton ccSvcHst.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Oprócz infekcji Weelsof (ta od blokady) masz znacznie gorszego trojana ZeroAccess.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer.

 

2. Otwórz Notatnik i wklej w nim:

 

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

icacls C:\$Recycle.Bin\S-1-5-21-772737327-3409308761-3490658290-1000\$f6dbe03146df374b0b6ba444e07a33ba /grant Wszyscy:F /T

rd /s /q C:\$Recycle.Bin

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer.

 

3. Pokazujesz nowy log z OTL ze skanowania (bez extras) oraz z Farbar Service Scanner

Odnośnik do komentarza

Infekcja ZeroAccess zdjęta. Teraz można przejść dalej.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Files
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Windows\SysWow64\%APPDATA%
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Searchqu Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych.

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

Odnośnik do komentarza

To by było tyle z usuwania. Możesz wykonać kroki na zakończenie.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...