Ukash win7x64

[FLASHMASH]

W zalączniku jest plik z logiem frst. prosze o skrypt z fix'em. Dziękuje

............

Czy jest jakaś metoda by przez edytor rejestru z liveCD dezaktywować autowyłanczanie się trybu awaryjnego z wierszem poleceń. Gdyby było to możliwe uruchomił bym combofix'a

FRST.txt

[jessica]

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

 

Spróbuję Ci pomóc tylko na tyle, byś mógł używać komputer w Trybie Normalnym (a nie spoza Systemu).

Masz też infekcję ZeroAcces, więc do tego potrzebna będzie fachowa pomoc @Picasso.

 

1) 1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe

C:\ProgramData\gX337333

HKU\admin\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe

HKLM\...\Winlogon: [userinit] C:\ProgramData\gX337333\gX337333.exe -sm,

HKU\admin\...\Run: [crediles] - rundll32 "C:\Users\admin\AppData\Local\Temp\explmmc64.dll",CreateProcessNotify <===== ATTENTION

C:\Users\admin\AppData\Local\Temp\explmmc64.dll

S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\   \...\???\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

S1 pnhynwsk; \??\C:\Windows\system32\drivers\pnhynwsk.sys [x]

S1 rdcjrmhm; \??\C:\Windows\system32\drivers\rdcjrmhm.sys [x]

S1 sqgbkqyb; \??\C:\Windows\system32\drivers\sqgbkqyb.sys [x]

S1 wyemuqbr; \??\C:\Windows\system32\drivers\wyemuqbr.sys [x]

C:\Program Files (x86)\BonanzaDeals

C:\Users\admin\AppData\Local\Google\Desktop\Install

C:\Program Files (x86)\Google\Desktop\Install

C:\ProgramData\dsgsdgdsgdsgw.bat

C:\ProgramData\dsgsdgdsgdsgw.reg

Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.

 

2. Uruchom FRST, wskaż mu Windows 7 jako system do naprawy, wybierz opcję Fix. Powstanie plik fixlog.txt. (dasz go)

 

Spróbuj uruchomić komputer w Trybie Normalnym.

Jeśli się uda, to zrobisz to:

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

3) Zrobisz wymagane logi.

 

Bez względu na to, czy uda się uruchomić komputer w Trybie Normalnym, czy nie, to zrobisz log z FRST.

[picasso]

Usuwam wątki nieadekwatne. Tylko jeden komentarz:

 

jessika

 

FRST z poziomu WinRE może przetworzyć tylko katalogi infekcji ZeroAccess, ale nie jej wpisy uruchomieniowe, również komendy ściągania junkcji wykonalne spoza WinRE.

 

 

FLASHMASH

 

Na temat używania ComboFix (który został tu uruchomiony, bo widać ślady): KLIK. Zadania zostaną podzielone na dwie partie. Najpierw odblokowanie systemu, potem dokładne usuwanie infekcji ZeroAccess.

 

1. Odblokowanie systemu z poziomu WinRE. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe [556696 2013-10-05] ()
HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,,C:\ProgramData\gX337333\gX337333.exe -sm,
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKLM-x32\...\Run: [tuto4pc_pl_17] - [x]
HKU\admin\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe [556696 2013-10-05] ()
HKU\admin\...\Run: [crediles] - rundll32 "C:\Users\admin\AppData\Local\Temp\explmmc64.dll",CreateProcessNotify 
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S1 pnhynwsk; \??\C:\Windows\system32\drivers\pnhynwsk.sys [x]
S1 rdcjrmhm; \??\C:\Windows\system32\drivers\rdcjrmhm.sys [x]
S1 sqgbkqyb; \??\C:\Windows\system32\drivers\sqgbkqyb.sys [x]
S1 wyemuqbr; \??\C:\Windows\system32\drivers\wyemuqbr.sys [x]
C:\Users\admin\Desktop\Antivirus Security Pro.lnk
C:\Users\admin\Desktop\Antivirus Security Pro support.url
C:\Users\admin\AppData\Local\Temp\*.dll
C:\Users\admin\AppData\Local\Temp\*.exe
C:\Users\admin\AppData\Local\Google\Desktop
C:\Program Files (x86)\Google\Desktop
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\predm
C:\ProgramData\gX337333
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\ProgramData\dsgsdgdsgdsgw.reg

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Skrypt nie może być uruchomiony spod Windows tylko ma być wyegzekwowany spod WinRE. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przejdź do Windows i zrób nowe raporty: FRST (ma powstać plik Addition) + OTL + GMER + Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

 

.

[FLASHMASH]

Wykonałem skrypt jessic'i i uruchomiłem windows normalnie i włączyłem roguekiler(z naprawą), dołączam logi:

Extras.Txt

Addition.txt

Fixlog.txt

FSS.txt

RKreport0_D_10112013_184601.txt

gmerlog.txt

[picasso]

Cóż, wykonałeś skrypt jessiki, więc muszę przywrócić usunięty post. Jak mówiłam: FRST spod WinRE nie może usuwać określonych wpisów ZeroAccess i to nadal wymaga korekty. Poza tym, tu jest więcej do roboty w tym zakresie.

 

Logi z OTL usuwam. Źle wykonane, dlatego tak kuriozalnie wielkie. Opcje Pliki utworzone / zmodyfikowane w przeciągu ustawiłeś na Wszystkie, a ma być Młodsze niż. Brakuje także głównego skanu FRST, dałeś tylko Addition. Proszę uzupełnij.

 

 

 

.

[FLASHMASH]

uzupełnienie

FRST.txt

OTL.Txt

[picasso]

Do przeprowadzenia następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

U2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\ \...\???\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\GoogleUpdate.exe" 
HKCU\...\Run: [Google Update*] - [x] 
HKCU\...\Policies\Explorer: [RestrictRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKLM-x32\...\Run: [tuto4pc_pl_17] - [x]
Task: {247463FE-FD5F-40EC-BE19-9118AB08F2F6} - System32\Tasks\0 => Iexplore.exe
Task: {32065735-1A8A-4CF8-BCE8-F36624A53C61} - System32\Tasks\4702 => C:\Users\admin\AppData\Local\Temp\launchie.vbsC:\Users\admin\AppData\Local\Temp\launchie.vbs //B
AlternateDataStreams: C:\Users\admin\Local Settings:qZ8udoIq3xBhSNPTcITW
AlternateDataStreams: C:\Users\admin\AppData\Local:qZ8udoIq3xBhSNPTcITW
AlternateDataStreams: C:\Users\admin\AppData\Local\Application Data:qZ8udoIq3xBhSNPTcITW
AlternateDataStreams: C:\Users\admin\AppData\Local\Temporary Internet Files:FLGftShT5xX4DR6v27GgYjgx1FWgj
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
C:\Program Files (x86)\predm
C:\Program Files (x86)\Google\Desktop
C:\Users\admin\AppData\Local\Google\Desktop
C:\Users\admin\Desktop\Antivirus Security Pro.lnk
C:\Users\admin\Desktop\Antivirus Security Pro support.url
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro
C:\Users\admin\AppData\Roaming\Mozilla\Firefox\profiles\extensions\extensions
C:\Users\admin\AppData\Roaming\Mozilla\Firefox\profiles\extensions\prefs.js
C:\Users\admin\AppData\Roaming\logs
C:\Users\admin\Desktop\SkryBot-doMowy(22258).exe
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender
DeleteJunctionsInDirectory: C:\Program Files\Microsoft Security Client
CMD: netsh winsock reset
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

Jeśli FRST nie wymusi restartu, zrób to ręcznie.

 

2. Uruchom ServicesRepair i zresetuj system.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy qvo6.
• Ustawienia > karta Historia > wyczyść

5. Zrób nowe logi: FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt.

 

 

 

 

.

[FLASHMASH]

Hej, załączam nowe skany.

FRST.txt

FSS.txt

Fixlog.txt

[picasso]

Zadania wykonane. ServicesRepair nie odtworzył dwóch usług (PolicyAgent + RemoteAccess) i należy to zrobić ręcznie:

 

1. Pobierz SetACL (Download the EXE version of SetACL 3.0.6) i umieść w folderze C:\Windows. Następnie wykonaj instrukcje z tego posta: KLIK.

 

2. Zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

 

.

[FLASHMASH]

hej, dawno się nie odzywałem. to nowy skan

FSS.txt