Ukash

[proi]

Witam,

Tradycyjnie: niby-policja. Proszę o pomoc.

Dzięki!

 

EDYCJA:

Ponieważ konto zainfekowanego użytkownika w zwykłym trybie awaryjnym blokowane było przez biały ekran, skorzystałem z rady z tematu http://www.fixitpc.p...__fromsearch__1 i użyłem trybu awaryjnego z wierszem polecenia i uruchomilem explorer.exe. Dalej poszło już "normalnie". To może się przydać innym użytkownikom.

 

Logi z poprawnego konta:

Extras.Txt

OTL.Txt

[picasso]

Log zrobiony z poziomu złego konta, wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: ACER-CDE2CA277C | User Name: Administrator | Logged in as Administrator.

 

To konto nie było nawet czynne przed akcją (świeży zrzut folderu na dysk). Konta mają inne foldery i rejestry i logi muszą pochodzić z konta na którym ujawnia się problem. Infekcja działająca na konkretnym koncie nie jest widziana z poziomu innego. Tak tu właśnie jest. Proszę przelogować się na właściwe konto, zrobić nowe logi OTL, podmienić załączniki w pierwszym poście i na PW dać znać o edycji.

 

 

EDIT: Logi wymienione. Przechodzimy do czyszczenia:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\ppp\Dane aplikacji\msconfig.dat
C:\Documents and Settings\ppp\Dane aplikacji\msconfig.ini
C:\Documents and Settings\ppp\ms.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ppp\USTAWI~1\Temp\cpuz_x32.sys -- (cpuz129)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj zbędniki McAfee Security Scan Plus, Yahoo! Toolbar.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[proi]

1. Zrobione-efekt: system sprawny

2. Zrobione

3. Zrobione, w załączniku

 

Wielkie dzięki!

OTL.Txt

[picasso]

Tym razem zrobiłeś OTL inaczej na ustawieniu "Minimum informacji". Na przyszłość: ma być zawsze zaznaczone "Całość informacji". Operacje pomyślnie ukończone, finalizuj sprawy:

 

1. Mini poprawki na odpadki po deinstalacjach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*http://uk.yahoo.com"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKCU\..\SearchScopes\{DD9EE5A7-0C49-42CE-A292-6FD3A55141D1}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2012-10-24 08:41:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
[2012-10-23 21:07:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg Twojego loga masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 22.0.1229.94
"Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre)

 

Okropnie stary Firefox i Adobe odinstaluj, Google Chrome zaktualizuj.

 

.