Skocz do zawartości

Ukash. Prośba o pomoc w usunięciu trojana.


Rekomendowane odpowiedzi

Witam. Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie). Jednak nie chcę czekać na powrót trojana i chciałbym się go całkowicie pozbyć. Byłbym bardzo wdzięczny za pomoc. Wrzucam logi z OTL'a.

 

Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Do chwili obecnej udało mi się tyle zdziałać, że po pokombinowaniu w msconfig udało mi się odpalić komputer w normalnym trybie (przy wyłączonym internecie).

 

OTL domyślnie nie skanuje msconfig. Poproszę o dodatkowy skan. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s

 

Kliknij w Look i czekaj na raport.

 

 

.

Odnośnik do komentarza
Zorientowałem się, że miałem zainstalowanego Daemon Tools'a. Usunę wszystko i wrzucę świeże logi.

 

To było zbędne. System x64 i nie jest tu uruchamiany żaden rootkit detektor. Nie wpłynęło to na zawartość logów.

 

 


Skan z SystemLook pokazuje dokładnie co wyłączyłeś:

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm]

"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

"item"="cienzhoznalanwm"

"hkey"="HKCU"

"command"="C:\ProgramData\cienzhoz.exe"

"inimapping"="0"

"YEAR"= 0x00000007dc (2012)

"MONTH"= 0x0000000007 (7)

"DAY"= 0x000000000d (13)

"HOUR"= 0x0000000012 (18)

"MINUTE"= 0x000000002f (47)

"SECOND"= 0x000000001a (26)

 

Wszystkie obiekty infekcji są na dysku. Plus śmieci / podejrzane "aplikacje" ("PC Cleaners"). Przechodzimy do usuwania:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cienzhoznalanwm

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\anuqwzumfijetpp
C:\ProgramData\cienzhoz.exe
C:\ProgramData\xvyvhuwhnvedysh
C:\ProgramData\PC1Data
C:\Users\Arnate\AppData\Roaming\PC Cleaners
C:\Users\Arnate\AppData\Roaming\PCPro
C:\Users\Arnate\0.20666296071644508.exe
C:\Users\Arnate\AppData\Roaming\Mozilla\Firefox\Profiles\vnyytme3.default\searchplugins\web-search.xml
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

4. Do oceny wystarczy tylko log z usuwania OTL z punktu 2. Nowy skan OTL nie jest potrzebny.

 

 

.

Odnośnik do komentarza

Zadanie pomyślnie przetworzone. Możemy przejść do wykończenia:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku kwarantannę OTL z trojanami oraz OTL.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Przeprowadź skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przedstaw raport.

 

4. Podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32

"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ---> wersja dla FF już najnowsza 11.3.300.265, ale sprawdź w/w dla IE

"Gadu-Gadu" = Gadu-Gadu 7.7

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005 ----> brak pakietu SP

"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)

"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089

 

 

Gadu-Gadu 7.7 też tu zakreślam, z następujących powodów: wersja o niskim stopniu bezpieczeństwa ze względu na brak szyfrowania (możliwość podsłuchu), niezgodna z własną siecią (sic!), stara a taki nowoczesny Windows 7 x64. Proponuję alternatywę WTW. Program cechuje: natywna wersja x64, tryb portable, brak reklam, dobra obsługa sieci Gadu i protokołu GG10 (a więc większa zgodność niż ... GG7), możliwość rozszerzenia przez wtyczki i modyfikacja wyglądu. Pełny opis w artykule Darmowe komunikatory. Ogólnie na dziś alternatywy z obsługą GG, które się liczą, to tylko: WTW, Kadu, Miranda, AQQ. Reszta niezdatna.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...