Skocz do zawartości

Trojan UKASH, zablokowany komputer


Rekomendowane odpowiedzi

Witam,

 

Znajomemu zablokował się komputer i zaczął dziwnie pracować wyświetlając komunikaty o policji, blokadzie itp. Po krótkim szukaniu google poinformował mnei iż jest to trojan o wdzięcznej nazwie UKASH... Nie jestem neistety na tyle zaawansowana w temacie usuwania tego wirusa, stąd proszę serdecznie o pomoc w zlikwidowaniu go.

 

Załączam standardowe logi z OTL i GMERA, jesli potrzeba innego zaraz go spreparuje

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Był tu używany ComboFix i na ten temat: KLIK. Wg raportów OTL już w jakiś sposób usunięto punkt ładowania, nadal są jednak na dysku pliki infekcji oraz inne śmieci. Poza tym, w GMER jest podejrzany ukryty proces.

 

1. Na początek prawidłowe deinstalacje adware:

- Przez Panel sterowania odinstaluj SaveByclick, McAfee Security Scan Plus (sponsor paczek Adobe).

- W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\WebCake\WebCakeDesktop.Updater.exe C:\Users\Gosia\AppData\Roaming\WebCake\WebCakeDesktop.exe -- (WebCake Desktop Updater)
SRV - [2013-05-23 11:09:59 | 002,827,728 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe -- (BrowserDefendert)
IE - HKU\S-1-5-21-518962740-1752487749-160826473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?babsrc=HP_ss&mntrId=38EB001A4DF4DC2E
O2 - BHO: (SaveByclick) - {901CF2CE-E1B0-4F1C-C7A0-D2D51240D2ED} - C:\ProgramData\SaveByclick\50dc4a059b5f9.dll File not found
O3 - HKU\S-1-5-21-518962740-1752487749-160826473-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-518962740-1752487749-160826473-1000..\Run: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
 
:Files
C:\Users\Gosia\AppData\Roaming\skype.dat
C:\Users\Gosia\AppData\Roaming\skype.ini
C:\Users\Gosia\AppData\Roaming\BabSolution
C:\Users\Gosia\AppData\Roaming\Babylon
C:\Users\Gosia\AppData\Roaming\WebCake
C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
C:\ProgramData\BrowserDefender
C:\Program Files\Delta
C:\Program Files\WebCake
C:\ProgramData\Tarma Installer
C:\Windows\tasks\EPUpdater.job
D:\autorun.inf
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (ale załącz mi tylko plik Addition.txt) + GMER. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane przez picasso
25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...