Vagger Opublikowano 14 Lipca 2013 Zgłoś Udostępnij Opublikowano 14 Lipca 2013 Witam! Jestem zarejestrowany od dzisiaj. W ogóle brak mi orientacji co do usuwania infekcji, tutaj blokowanie komputera przez ukash, programami typu OLT, o którym doczytałem się też dzisiaj. Doszedłem do wygenerowania loga OLT.txt uzyskanego poprzez płytkę OLTPE. W ogóle gdzie uzyskac można wiedzę jak czytac takie logi? Prośba o analizę i odpowiedni skrypt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2013 Zgłoś Udostępnij Opublikowano 15 Lipca 2013 Vagger, zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone w osobny. 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL IE - HKU\MIRKA_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = ftp=127.0.0.1:5555;http=127.0.0.1:5555;https=127.0.0.1:5555 O3 - HKU\MIRKA_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\MIRKA_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\MIRKA_ON_C..\Run: [] File not found O4 - HKU\MIRKA_ON_C..\Run: [DirtyDecrypt] C:\Users\MIRKA\AppData\Roaming\Dirty\DirtyDecrypt.exe () O4 - HKU\MIRKA_ON_C..\Run: [DriverUpdaterPro] File not found O4 - HKU\MIRKA_ON_C..\Run: [naMNGFob] C:\Users\MIRKA\AppData\Local\kjpjvp\eUhxZcoH.exe () O4 - HKU\MIRKA_ON_C..\Run: [system Resource Monitor] File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found O20 - HKLM Winlogon: UserInit - (C:\Program Files\Windows Media Components\ViOBGyyx.exe) - C:\Program Files\Windows Media Components\ViOBGyyx.exe () :Files C:\Users\MIRKA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fqPHYaQW.exe C:\Users\MIRKA\AppData\Local\kjpjvp C:\Users\MIRKA\AppData\Local\yrqtHtFD C:\Users\MIRKA\AppData\Local\qkxRrykp C:\Users\MIRKA\AppData\Local\Dirty C:\Users\MIRKA\AppData\Roaming\Dirty C:\Users\MIRKA\AppData\Roaming\DSite C:\Windows\tasks\DSite.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System powinien zostać odblokowany, loguj się normalnie do Windows. 2. Przez Panel sterowania odinstaluj zbędne aplikacje: AVG Security Toolbar, Smart File Advisor. 3. Zrób nowe logi ze standardowego OTL (ma powstać też plik Extras) + FRST. W ogóle gdzie uzyskac można wiedzę jak czytac takie logi? To nie jest prosta sprawa: KLIK. . Odnośnik do komentarza
Vagger Opublikowano 16 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2013 Przepraszam za błąd z wejściem w cudzy temat, czułem, że coś nie tak zrobiłem. Odnośnie mojej sprawy, to system odblokowany, długo się uruchamiał po wgraniu skryptu, ale jest okey. Załączam wskazane logi. Jest jeszcze problem z wirusem szyfrowania plików, tutaj jpg. Część z nich jest sklonowana komunikatem. Jest jakiś deszyfrator? OTL.Txt Extras.Txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2013 Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Brakuje raportu FRST Addition. I to nie koniec jeszcze, bo nie wszystko zostało przetworzone plus jeszcze więcej adware widać (OTL w OTLPE jest zbyt stary): 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [DriverUpdaterPro] - C:\Program Files\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t [x] HKCU\...\Run: [system Resource Monitor] - C:\Users\MIRKA\AppData\Local\Temp\srcmon.exe [x] HKCU\...\Run: [] - [x] HKCU\...\Run: [naMNGFob] - C:\Users\MIRKA\AppData\Local\kjpjvp\eUhxZcoH.exe [x] HKCU\...\Run: [DirtyDecrypt] - "C:\Users\MIRKA\AppData\Roaming\Dirty\DirtyDecrypt.exe" /hide [x] MountPoints2: {c96f6ac2-abc3-11df-aed7-a927d1787455} - D:\uvpa.exe ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: ftp=127.0.0.1:5555;http=127.0.0.1:5555;https=127.0.0.1:5555 SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms} SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=DDR&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=845E8DB0-65CA-4A56-BF08-B3BA79C2F6CE&apn_sauid=AF34F3E0-8B48-4393-940C-D6D8D81F3B0D SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://start.myplaycity.com/results.php?category=web&s={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms} Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU -No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + FRST (z Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. Jest jeszcze problem z wirusem szyfrowania plików, tutaj jpg. Część z nich jest sklonowana komunikatem. Jest jakiś deszyfrator? Tak sądziłam, że ten trojan blokujący system zrobił jednak coś jeszcze i mogą być zaszyfrowane pliki, choć jesteś w zasadzie w pierwszym użytkownikiem który to zgłasza przy tym wariancie. Może inni użytkownicy nie zauważyli, że niestety i pliki zostały zaszyfrowane. Wypróbuj na początek Emsisoft Decrypter, może wychwyci tę szczególną modyfikację. . Odnośnik do komentarza
Vagger Opublikowano 21 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2013 Zanim otrzymałem skrypt musiałem oddać komputer (właścicielce, potrzebowała do odbioru maili itp), będę go miał, żeby dokończyc sprawę, czy muszę zeskanować go ponownie czy mogę uruchomić skrypty z pow. posta, myślę, że kuzynka niczego nie instalowała, ale używała internetu, podejrzewam, ze lepiej będzie zrobić nowe logi (z FRST Addition), ale chcę się upewnić. Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2013 Zgłoś Udostępnij Opublikowano 21 Lipca 2013 podejrzewam, ze lepiej będzie zrobić nowe logi (z FRST Addition), ale chcę się upewnić. Tak, gdyż upłynie dłuższy okres czasu i coś może się zmienić. . Odnośnik do komentarza
Vagger Opublikowano 24 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2013 Podstawiam nowe logi, prośba o analizę, jakby się udało dość szybko, byłbym wdzięczny, dzięki Wam pomagam innym i długo nie mogę trzymać sprzętu. OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
Vagger Opublikowano 25 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2013 Witam ponownie. Sprawa z logami nieaktualna, musiałem oddać sprzęt. Plików niestety nie zdeszyfrowałem Emsisoft Decrypter nie widzi infekcji w katalogu z zakodowanymi plikami. Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2013 Zgłoś Udostępnij Opublikowano 27 Lipca 2013 Komputer oddałeś, ale skomentuję: wszystkie podane przeze mnie wcześniej kroki nadal aktualne w formie którą podałam. Jeżeli uzyskasz ponowny dostęp do komputera, wykonaj je i przedstaw końcowe logi. . Odnośnik do komentarza
Vagger Opublikowano 28 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2013 (edytowane) Ok, zrobię tak i wrzucę logi, jak będę w posiadaniu sprawdzanego lapka. Edytowane 20 Września 2013 przez picasso 20.09.2013 - Upłynął ponad miesiąc. Temat zamykam.. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi