Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ukash + bonusy

wfwawa

Przez wfwawa
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

wfwawa

wfwawa

Opublikowano
Opublikowano

Witam,

Komputer znajomego, zablokowany ukashem, jakoś mi się udało odblokować (Kaspersky rescue disk) . Mam jednak wrażenie że coś jeszcze siedzi w systemie. W międzyczasie zrobiłem update do Vista SP2 ( nie było żadnych aktualizacji zainstalowanych) . Dziękuję za pomoc. Combofix niestety był grany - nie rozpoczął pracy, blokował się przy uruchomieniu. Gmer się zawiesza na virtualhd. OTL wypluł to:

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na dysku są tylko minimalne ślady infekcji, w postaci pliku netdislw.pad. Doczyść to i wpisy puste / z błędami:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\netdislw.pad
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
IE - HKLM\..\SearchScopes\{17EAC8B4-377A-4634-81D1-D9A048B14165}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=sny_ie7;"
IE - HKU\S-1-5-21-1089462087-4221147369-1076738322-1002\..\SearchScopes\{17EAC8B4-377A-4634-81D1-D9A048B14165}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=sny_ie7;"
IE - HKU\.DEFAULT\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKU\S-1-5-21-1089462087-4221147369-1076738322-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "http://download.divx.com/player/DivXBrowserPlugin.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} "http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Bysior\AppData\Local\Temp\mfe_rr.sys -- (MFE_RR)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

wfwawa, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam.

 

 

Przy okazji zdechł internet...po tym skrypcie...

 

Popatrz w skrypt, on w ogóle nic nie ruszał z obszaru sieciowego. Usuwany: drobny plik infekcji, drobne wpisy z konfiguracji Internet Explorer, trzy szczątkowe usługi (w tym jedna po ComboFix). Skoro nie masz sieci, stało się coś innego. I gdyby nie to, że ComboFix był używany wcześniej, to pierwszy podejrzany (modyfikuje silnie ustawienia sieci). Czy na pewno po ponownym restarcie Windows nie ma sieci?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mówię: mój skrypt nie ma nic do rzeczy. Patrz dokładnie w linie co było usuwane. Natomiast:

 

 

przy logowaniu się do jednej tożsamości wywala komunikat o braku pliku wlsident.dll - czyli biblioteka chyba od WLAN.

 

No i właśnie, wygląda na to, że logi z OTL zrobiłeś z nieprawidłowego konta, nie na tym na którym była infekcja. Podany tu błąd jest tworzony przez wpis startowy infekcji, bo też to plik infekcji policyjnej na komunikacie a nie żaden "WLAN". Błąd stąd, że na dysku w katalogu startowym konta jest nadal skrót infekcji *.LNK próbujący się uruchamiać.

Logi z OTL zawsze muszą być tworzone z poziomu konta na którym był problem. Konta mają kompletnie inne rejestry i foldery i między nimi nie są widziane elementy należne do konkretnego konta. Proszę o logi zrobione z poziomu konta na którym ujawniła się infekcja i ten błąd.

 

 

 

.

Odnośnik do komentarza
wfwawa

wfwawa

Opublikowano
  • Autor
Opublikowano

Problem był na koncie Bysior, pierwsze logi zrobiłem z niego, oczywiście wybrałem opcję "wszyscy użytkownicy" w OTL ja w tutorialu. Konto drugie , na którym jak na razie nie krzyczy o plik wlsidten.dll założyłem po odblokowaniu kompa z ukasha tak testowo, jakby mi się konto Bysior wywaliło. Drugi log po skrypcie też był z konta Bysior czyli z tego na którym był problem, jednak nie oznaczyłem w OTL funkcji "wszyscy użytkownicy". Leci teraz skan Malwarebyte. Zobaczymy. Tak myślałem że się otworzy puszkę pandory bo ten system mi brzydko pachniał. I absolutnie nie twierdzę iż Twój skrypt coś namieszał, ot zbieg okoliczności.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Problem był na koncie Bysior, pierwsze logi zrobiłem z niego, oczywiście wybrałem opcję "wszyscy użytkownicy" w OTL ja w tutorialu.

 

Na przyszłość: to nie działa jak myślisz. To jest jedynie malutki skan dodatkowy na fragmenty innych kont, nadal log główny przedstawia przede wszystkim konto które było zalogowane. Mnóstwo elementów innych kont nie jest widzianych w raporcie OTL, dopóki nie zostanie zrobiony log z poziomu danego konta.

 

 

Drugi log po skrypcie też był z konta Bysior czyli z tego na którym był problem

 

W logach nie ma widzialnego elementu infekcji produkującego ten błąd. Jeśli teraz jest na Bysior błąd = zrób nowy log z OTL, bo może infekcja wróciła.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Hmm, to ciekawe. Ja tu nie widzę w ogóle skrótu, który może ładować wlsidten.dll (ten plik infekcja umieszcza w Temp i po wyczyszczeniu Temp skrót startowy nie może się go załadować).

Zrób mi log z OTL na takim ustawieniu: opcję Rejestr ustaw na Wszystko a nie Użyj filtrowania, a wszystkie pozostałe opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

PS. Log Extras po raz drugi niepotrzebny. Usuwam.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Na marginesie przelogowałem sie i błąd wlsidten.dll zniknął...

 

Jak mówię: sprawa jest po stronie konkretnego konta. Tak działa ta infekcja, umieszcza skróty na danym koncie a nie globalnie.

 

Konsekwentnie w nowym OTL nic nie widzę na koncie Bysior. To podaj mi skan na zawartość folderu Autostart konta Bysior + ścieżki folderu Autostart (czy aby nie ma tu jakiegoś błędu w rejestrze). Z poziomu Bysiora uruchom SystemLook i w oknie wklej:

 

:dir
C:\Users\Bysior\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
 
:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Look.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skan z SystemLook nic nie wykazuje. Ale mnie to nadal niepokoi, komunikat o braku pliku wlsident.dll to komunikat infekcji. Skoro w logach nie było żadnego obiektu startowego, nie rozumiem jakim cudem ten komunikat mógł się zgłaszać. Na wszelki wypadek podaj mi jeszcze taki skan w SystemLook:

 

:filefind
runctf.lnk
ctfmon.lnk

 

Jeśli nic się nie okaże, będziemy kończyć.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W ramach ukończeń po czyszczeniu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli do wyrzucenia wszystkie Java + Adobe Reader + Silverlight i zastąpienie najnowszymi oraz aktualizacja Firefox.

 

 

Napisz mi proszę czy MS security essentials jest dobrym pomysłem na darmową aktywną ochronę? Jeżeli nie to co?

 

To dość skromny antywirus. Bardziej rozwiniętą ochronę mają przykładowo: Avast, AVG. Aviry nie polecam, a dlatego, że aktywacja Osłony Web wymaga instalacji adware, czyli paska Ask maskowanego jako "Avira Toolbar".

 

 

 

PS. Uwaga poboczna: znajomy jedzie na Nowe Gadu-Gadu. Podsuń mu alternatywy: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...