Skocz do zawartości

Ukash, Polizja - pomoc w dezynfekcji


Rekomendowane odpowiedzi

Witam, jak jeden z wielu złapałem gdzieś tego durnego wirusa z Komorowskim, czasem z National Security. Sprawdziłem Router niby dns są ok [ale chyba nie są], w systemie tak samo ustawione na googlowe, próbowałem już wszystkiego co znalazłem w necie [adwcleaner itd] reset routera też średnio pomógł, problem nadal występuje. Gdy wchodzę na jakieś strony link w przeglądarce nagle zmienia sie na:

94.249.192.104/chk.html 

 

po czym ładuje się strona ukash itd. Ta sama strona otwiera się również czasem w oknie Steam. Zablokowałem również dostęp do routera z internetu.

 

Gmer crashował mi się, ale w trybie awaryjnym zadziałał.

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log wskazuje, że rzeczywiście wszędzie są ustawione adresy DNS Google:

 

Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4

Tcpip\..\Interfaces\{1DC05097-F115-4528-98ED-E86941FBA218}: [NameServer] 8.8.8.8

Tcpip\..\Interfaces\{F414BB6D-5952-4985-B2C2-740933FBED7D}: [NameServer] 8.8.8.8,8.8.4.4

 

W raporcie nie widać oznak czynnej infekcji. Może ten komunikat jest z winy któregoś cache (bufor DNS lub cache przeglądarek). Wstępne działania:

 

1. Uruchom ten test i podaj wyniki: KLIK.

 

2. Wyłącz rezydent Spybota, by nie przeszkadzał, a najpiej to go odinstaluj całkowicie, obecnie to dość słaby program. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R0 fsbts; C:\Windows\System32\Drivers\fsbts.sys [56016 2014-10-11] ()
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 GPU-Z; \??\C:\Users\galonpzw\AppData\Local\Temp\GPU-Z.sys [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3991204091-2138177107-2604177908-1001\...\Run: [AdobeBridge] => [X]
C:\ProgramData\AVG2014
C:\ProgramData\F-Secure
C:\ProgramData\MFAData
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\galonpzw\AppData\Roaming\3909
C:\Users\galonpzw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\WINDOWS\ACF5FE1B377240688B872D2A6EFD0A05.TMP
C:\WINDOWS\system32\Drivers\fsbts.sys
C:\WINDOWS\SysWOW64\%TMP%
C:\WINDOWS\SysWOW64\sqlite3.dll
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

 

 

 

.

Odnośnik do komentarza

Skoro czyszczenie miało pozytywne rezultaty, to jak mówiłam któreś cache było zabrudzone, a mój skrypt czyścił te miejsca. Wszystko zrobione, kroki końcowe:

 

1. Nie zauważyłam jednego pustego wpisu w starcie. Skasuj z dysku plik:

 

C:\Users\galonpzw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GameRanger.lnk

 

2. Skasuj FRST z G:\Pulpit\PULPIT. Popraw za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...