Skocz do zawartości

Ukash - prosze o pomoc


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło drugiego loga z OTL - extras. Nie miałaś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112
IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box&a=1jSpsskxBoJ"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [Kookos] C:\Users\Sylwia\Desktop\Kookos\kookos.exe silent File not found
 
:Files
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Sylwia\AppData\Local\Temp*.html
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Media Bar / Contribute Toolbar / Searchqu Toolbar / SweetIM Toolbar for Internet Explorer

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras)

Odnośnik do komentarza
  • 2 tygodnie później...

sorki że tak długo się nie odzywałam ,ale mnie nie było. odpalam dziś kompa na trybie awaryjnym i widze ukash. Także juz nie mam praktycznie dostępu - jak to teraz ugryźć ?

 

Pozdrawiam,

 

Sylwia

 

poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło. Wszystkie 4 punkty zrobione. No i świeże logi w załłączniku.

Sprawdźcie proszę czy wszystko już ok, czy jeszcze gdzieś toto siedzi.

Wielkie dzięki ! :)

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Wyjaśnienie dlaczego tak się działo - przy okazji weszła w system inna wersja infekcji "Ukash", która dopisuje się do shella i dlatego w awaryjnym też był problem. I są jej ślady na dysku. Czyli pomiędzy zrobionymi logami, a wykonywaniem skryptu zaleconego przeze mnie odwiedziłaś jakiś link, który miał infekcję. Trzeba to usunąć.

 

poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło.

 

Wątpię by to był powód, raczej zbieg okoliczności. Ostatnie logi pokazują, że w shellu nie ma wpisu infekcji, który powodował blokade więc coś go musiało usunąć. Możliwe, że Avast i to dzięki temu dostałaś się do systemu.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\Sylwia\AppData\Roaming\Yxezi
C:\Users\Sylwia\AppData\Roaming\Yvewo
C:\Users\Sylwia\AppData\Roaming\Omhie
C:\Users\Sylwia\AppData\Roaming\804C48
C:\Users\Sylwia\AppData\Roaming\Ahnyik
C:\Users\Sylwia\AppData\Roaming\Ihha
C:\Users\Sylwia\AppData\Roaming\msconfig.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Odnośnik do komentarza

To wszystko. Wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...