trojan Weelsof, który żąda kodu UKASH

[yuve]

Witam serdecznie

No i stało się - dostałem po łapkach od trojana.

Próbowałem wykonywać wszelkie opisywane na forum czynności, ale żadne nie przynoszą rezultatów.

Dotychczas użyłem: OTL, Malwarebytes, TDSSKillera, nawet starego McAffe_stinger. Ale za każdym razem po restarcie pojawia się ta "grzeczna prośba" o wpłatę kasy ...

Załączam wszelkie wytworzone logi.

Poradźcie... może dla mnie też znajdzie się jakiś osobny skrypt do wywalenia tego cholerstwa.

Z góry dziękuję za wszelką pomoc!

 

------------

PS: dodaję log z gmera - niestety już po próbach deinfekcji, nie wiem czy pomoże...

extras.txt

mbam-log-2012-07-12 (11-31-59).txt

OTL.Txt

tdsskiller_log.txt

gmer.txt

[picasso]

Log z OTL źle zrobiony. Ustawione wszędzie Wszystko a ma być Użyj filtrowania. Proszę poprawić.

 

 

TDSSKiller nie pod tą infekcję, i załatwiłeś prawidłowe sterowniki / usługi:

 

11:54:10.0922 1156	============================================================
11:54:10.0922 1156	Scan finished
11:54:10.0922 1156	============================================================
11:54:10.0922 1072	Detected object count: 5
11:54:10.0922 1072	Actual detected object count: 5
11:55:02.0948 1072	C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe - copied to quarantine
11:55:02.0948 1072	HKLM\SYSTEM\ControlSet001\services\IDriverT - will be deleted on reboot
11:55:02.0980 1072	HKLM\SYSTEM\ControlSet002\services\IDriverT - will be deleted on reboot
11:55:03.0073 1072	C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe - will be deleted on reboot
11:55:03.0073 1072	IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Delete 
11:55:03.0104 1072	C:\Windows\system32\srvany.exe - copied to quarantine
11:55:03.0104 1072	HKLM\SYSTEM\ControlSet001\services\KMService - will be deleted on reboot
11:55:03.0120 1072	HKLM\SYSTEM\ControlSet002\services\KMService - will be deleted on reboot
11:55:03.0120 1072	C:\Windows\system32\srvany.exe - will be deleted on reboot
11:55:03.0120 1072	KMService ( UnsignedFile.Multi.Generic ) - User select action: Delete 
11:55:03.0182 1072	C:\Program Files\Autodesk\3ds Max 2012\mentalimages\satellite\raysat_3dsmax2012_32server.exe - copied to quarantine
11:55:03.0182 1072	HKLM\SYSTEM\ControlSet001\services\mi-raysat_3dsmax2012_32 - will be deleted on reboot
11:55:03.0182 1072	HKLM\SYSTEM\ControlSet002\services\mi-raysat_3dsmax2012_32 - will be deleted on reboot
11:55:03.0182 1072	C:\Program Files\Autodesk\3ds Max 2012\mentalimages\satellite\raysat_3dsmax2012_32server.exe - will be deleted on reboot
11:55:03.0182 1072	mi-raysat_3dsmax2012_32 ( UnsignedFile.Multi.Generic ) - User select action: Delete 
11:55:03.0245 1072	C:\Program Files\CyberLink\Shared files\RichVideo.exe - copied to quarantine
11:55:03.0245 1072	HKLM\SYSTEM\ControlSet001\services\RichVideo - will be deleted on reboot
11:55:03.0245 1072	HKLM\SYSTEM\ControlSet002\services\RichVideo - will be deleted on reboot
11:55:03.0245 1072	C:\Program Files\CyberLink\Shared files\RichVideo.exe - will be deleted on reboot
11:55:03.0245 1072	RichVideo ( UnsignedFile.Multi.Generic ) - User select action: Delete 
11:55:03.0292 1072	C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe - copied to quarantine
11:55:03.0292 1072	HKLM\SYSTEM\ControlSet001\services\SwitchBoard - will be deleted on reboot
11:55:03.0292 1072	HKLM\SYSTEM\ControlSet002\services\SwitchBoard - will be deleted on reboot
11:55:03.0292 1072	C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe - will be deleted on reboot
11:55:03.0292 1072	SwitchBoard ( UnsignedFile.Multi.Generic ) - User select action: Delete 

 

UnsignedFile.Multi.Generic to nie jest infekcja w dosłownym rozumieniu, to tylko wykaz braku podpisu cyfrowego (co jest naturalne dla wielu elementów). To dopiero trzeba zanalizować! UnsignedFile.Multi.Generic może byćinfekcją, ale wcale nie musi.

 

 

.

Edytowane 15 Sierpnia 2012 przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso