Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus ukash "Komorowski"

forum

Przez forum
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Żaden z trybów się nie uruchamia, gdyż infekcja przejęła usługę Instrumentacji Windows podmieniając ścieżkę dostępu na własny sfałszowany plik. Wykonaj następującą operację:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 winmgmt; C:\Documents and Settings\All Users\Dane aplikacji\dodoigkdo.cpp\dodoigkdo.cpp [168486 2014-05-08] (Microsoft Corporation)
C:\Documents and Settings\All Users\Dane aplikacji\dodoigkdo.cpp
S1 ggprljxn; \??\C:\WINDOWS\system32\drivers\ggprljxn.sys [X]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. System powinien zostać odblokowany. Zaloguj się normalnie do Windows i zrób pełne raporty FRST z opcji Scan (mają powstać też pliki Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Poszło gładko. Jeszcze poprawki na szczątki tej infekcji i adware, których nie było widać w raporcie ze środowiska zewnętrznego, oraz dodatkowe akcje.

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\odkgiodod.lnk
HKLM\...\Run: [ROC_ROC_NT] => "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT
Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Microsoft Security Essentials (Disabled - Up to date) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_nocpc_3812_1&babsrc=SP_ss&mntrId=306bb7cd00000000000000f1d000f1d0
SearchScopes: HKCU - {F57510B7-3674-4404-8170-4EC3BA1C583B} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms}
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. Wyczyść Firefox:

  • menu Historia > Wyczyść historię przeglądania
  • menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.
3. Przez Dodaj/Usuń programy odinstaluj te starocie, to m.in. dziurawa Java jest przyczyną tej infekcji:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated)

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.1.102.55 - Adobe Systems Incorporated)

Adobe Reader 9.1 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated)

Adobe Reader 9.2 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A92000000001}) (Version: 9.2.0 - Adobe Systems Incorporated)

Java™ 6 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216021FF}) (Version: 6.0.210 - Oracle)

 

Dodatkowo usuń ukryte odpadkowe wpisy pozostawione po deinstalacji MSSE. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Microsoft Antimalware Service PL-PL Language Pack, Microsoft Security Client PL-PL Language Pack > Dalej.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadania wykonane. Kolejne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Te wpisy z Centrum zabezpieczeń się nie ulotniły:

 

AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} => The item is protected. Make sure the software is uninstalled and its services are removed.

AV: Microsoft Security Essentials (Disabled - Up to date) {BCF43643-A118-4432-AEDE-D861FCBCFCDF} => The item is protected. Make sure the software is uninstalled and its services are removed.

 

Wykonaj ręczne usuwanie rejestracji WMI: KLIK. Metoda 1 z wbemtest.exe: łączysz się do root\SecurityCenter2, SELECT * FROM AntiVirusProduct, z listy usuwasz wystąpienia o identyfikatorach {7591DB91-41F0-48A3-B128-1A293FD8233D} i {BCF43643-A118-4432-AEDE-D861FCBCFCDF}.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jakieś cuda się tu dzieją. Rejestracje były wykryte. Pokaż mi wynik komendy bezpośredniej. Otwórz Notatnik i wklej w nim:

 

CMD: wmic /namespace:\\root\SecurityCenter PATH AntiVirusProduct GET /value

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Komenda również twierdzi, że brak rejestracji. Zrób nowy log Addition, by sprawdzić czy nadal się pokazują w nim te wyniki:

 

==================== Security Center ========================
 

AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: Microsoft Security Essentials (Disabled - Up to date) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ale zaraz, co Ty właściwie próbowałeś wykonać, chyba nie próbowałeś nic nigdzie "wklejać"? Miałeś zrobić tylko log z opcji Scan przy zaznaczonym polu Addition. I w tymże raporcie w jego nagłówku przeczytać czy nadal widać podane przeze mnie linie. Nic poza tym. Pokazany tu komunikat świadczy, że zrobiłeś coś całkiem innego.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Obecny plik Addition nie pokazuje już tych wpisów. Nie wiem jakim sposobem zniknęły, skoro Fix ich nie przetwarzał. Problemu jednak już nie ma i kończ sprawy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te foldery:

 

C:\Documents and Settings\Admin\Pulpit\Stare dane programu Firefox

C:\Kaspersky Rescue Disk 10.0

C:\MATS

 

Zastosuj też narzędzie DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...