Skocz do zawartości
sisi

Ukash - prosze o pomoc

Rekomendowane odpowiedzi

Witam,

 

Pomóżcie proszę laptopa blokuje mi ukash jak się dowiedziałam na forum. Załączam logi, tylko tryb awaryjny działa.

 

Pozdrawiam,

 

Sylwia

checkup.txt

OTL.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło drugiego loga z OTL - extras. Nie miałaś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112
IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box&a=1jSpsskxBoJ"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}"
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [Kookos] C:\Users\Sylwia\Desktop\Kookos\kookos.exe silent File not found
 
:Files
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Sylwia\AppData\Local\Temp*.html
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Media Bar / Contribute Toolbar / Searchqu Toolbar / SweetIM Toolbar for Internet Explorer

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

sorki że tak długo się nie odzywałam ,ale mnie nie było. odpalam dziś kompa na trybie awaryjnym i widze ukash. Także juz nie mam praktycznie dostępu - jak to teraz ugryźć ?

 

Pozdrawiam,

 

Sylwia

 

poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło. Wszystkie 4 punkty zrobione. No i świeże logi w załłączniku.

Sprawdźcie proszę czy wszystko już ok, czy jeszcze gdzieś toto siedzi.

Wielkie dzięki ! :)

OTL.Txt

Extras.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wyjaśnienie dlaczego tak się działo - przy okazji weszła w system inna wersja infekcji "Ukash", która dopisuje się do shella i dlatego w awaryjnym też był problem. I są jej ślady na dysku. Czyli pomiędzy zrobionymi logami, a wykonywaniem skryptu zaleconego przeze mnie odwiedziłaś jakiś link, który miał infekcję. Trzeba to usunąć.

 

poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło.

 

Wątpię by to był powód, raczej zbieg okoliczności. Ostatnie logi pokazują, że w shellu nie ma wpisu infekcji, który powodował blokade więc coś go musiało usunąć. Możliwe, że Avast i to dzięki temu dostałaś się do systemu.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\Sylwia\AppData\Roaming\Yxezi
C:\Users\Sylwia\AppData\Roaming\Yvewo
C:\Users\Sylwia\AppData\Roaming\Omhie
C:\Users\Sylwia\AppData\Roaming\804C48
C:\Users\Sylwia\AppData\Roaming\Ahnyik
C:\Users\Sylwia\AppData\Roaming\Ihha
C:\Users\Sylwia\AppData\Roaming\msconfig.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To wszystko. Wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobione.

 

Wielkie dzięki za pomoc. Gratuluję wiedzy i profesjonalnego podejścia!

 

Pozdrawiam,

 

sisi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...