Ukash

[ukashInfected]

Witam,

 

tak jak w temacie - OTL wypluł następujące pliki:

1. http://wklej.org/id/966320

2. http://wklej.org/id/966321

 

Serdeczna prośba o kod czyszczący.

 

Pozdrawiam!

[picasso]

Na początek to skoryguj czas komputera, jest cofnięcie o 10 lat do tyłu:

 

OTL logfile created on: 2003-02-25 22:15:36 - Run 1

 

To powoduje, że log jest kuriozalnie wielki. Po skorygowaniu czasu zrób nowe raporty z OTL.

 

 

 

.

[ukashInfected]

Dzięki, nowe logi:

Extras.txt - http://wklej.org/hash/a28c4619b30/

OTL.txt - http://wklej.org/hash/b9604fab3fa/

 

Zauważyłem to i zmieniłem, ale już podczas działania programu a to nic nie dało - stąd taki wielki plik.

[picasso]

Jest różnica w stosunku do pierwszego zestawu OTL, brakuje skrótu uruchomieniowego runctf.lnk infekcji. Co robiłeś? Aktualnie na dysku widać tylko jeden plik + uszkodzoną przez infekcję usługę Instrumentacji Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Lodos\wgsdgsdgdsgsd.dll -- (winmgmt)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
 
:OTL
IE - HKCU\..\SearchScopes\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}: "URL" = "http://search.pdfcreator-toolbar.org/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [supelek bogiego] supb.exe -spr File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab" (Reg Error: Key error.)
[2012-10-29 17:45:44 | 083,023,306 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[ukashInfected]

Po restarcie niestety info o brakującej dll-ce nadal wyskakuje. Zaraz wrzucę log skanowania.

[picasso]

Wrzuć też log z usuwania OTL, by było wiadome jak skrypt przetwarzał dane.

[ukashInfected]

Niestety po tej zmianie nie mam dostępu do internetu, jak to naprawić?

[picasso]

Nie było usuwane nic związanego z internetem. Proszę dostarcz nowy raport OTL + log z usuwania skryptem.

[ukashInfected]

Jasne, log poniżej:

http://wklejto.pl/150906

 

Czy log z czyszczenia się gdzieś zapisał?

[picasso]

Log z usuwania jest zapisany na dysku, z którego uruchamiano OTL, czyli tu D:\_OTL. Ale nie jest mi już potrzebny. Nowy skan potwierdza wykonanie zadania. I nic więcej w logu nie widzę szkodliwego.

 

 

Po restarcie niestety info o brakującej dll-ce nadal wyskakuje.

 

Jak konkretnie jest ten błąd sformułowany? I sprawdź czy skrót infekcji przypadkiem się nie ostał, choć ja go nie widzę w najnowszym OTL (to wspominana przeze mnie różnica między pierwszym raportem a resztą). W pasku adresów eksploratora wklej ścieżkę i ENTER:

 

C:\Documents and Settings\Lodos\Menu Start\Programy\Autostart

 

Czy jest tam plik runctf.lnk? Jeśli tak, przez SHIFT+DEL go skasuj, zresetuj system i podaj co się dzieje.

 

 

 

.

[ukashInfected]

Super, po usunięciu runctf.lnk problem znikł! Dziękuję za pomoc

 

Pozdrawiam!

[picasso]

Możemy przejść do zakończenia tematu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj wszystkie stare Adobe + Java i zastąp najnowszymi oraz zaktualizuj Firefox: KLIK. Wg raportu masz obecnie zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 25
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 18.0.2 (x86 pl)" = Mozilla Firefox 18.0.2 (x86 pl)

 

 

 

.