Janus1 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam, mój komputer (windows xp) został zainfekowany przez wirus Ukash. W trybie awaryjnym zrobilem skany z programu OTL. Bardzo proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Zasady działu mówią wyraźnie, by nie zatajać używania ComboFix i przedstawić log który utworzy. Na temat bezmyślnego użytkowania aplikacji: KLIK. Są skutki uboczne, ComboFix uszkodził usługę Automatycznych aktualizacji (resetuje tę wartość na C:\WINDOWS, zawsze): SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) Notowalne szczątki innych infekcji i adware.... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe () O4 - HKLM..\Run: [TkBellExe] "realsched.exe" -osboot File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe () O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk () FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - File not found SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\janek\USTAWI~1\Temp\DAT2E.tmp.exe -- (nxezjkvxxtxjezf) DRV - [2010-10-22 18:12:53 | 000,044,288 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS1\system32\drivers\uebsa.sys -- (viakwtbl) [2012-07-13 23:19:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\hmpmvfppoyrcrxb [2012-07-13 23:19:06 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\keldoknugpwdmuj [2011-01-13 21:11:40 | 000,000,272 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixD [2011-01-13 21:11:40 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixDr [2011-01-13 21:11:35 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\xNK67KheixD [2010-09-17 20:26:54 | 000,297,438 | ---- | C] () -- C:\WINDOWS1\System32\shimg.dll [2010-07-20 18:40:34 | 000,203,776 | -HS- | C] () -- C:\WINDOWS1\System32\unrar.exe [2010-09-02 19:43:43 | 000,000,000 | ---D | M] (Adobe Flash Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{1CE11043-9A15-4207-A565-0C94C42D590D} [2007-11-02 16:32:05 | 000,000,000 | ---D | M] (AdVantage) -- C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302} :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"C:\WINDOWS1\system32\wuauserv.dll" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, PCSpeedUp Application, Przyspiesz Komputer, Winamp Toolbar for Internet Explorer. Przy okazji możesz odinstalować kompletnie przestarzały Skaner on-line mks_vir. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Janus1 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 (edytowane) Z gory dzieki za pomoc. Wydaje mi sie iz wszystko zrobilem wedle instrukcji. NIe udalo mi sie usunac z panela sterowania Ask Toolbar ale na kompie tego programu juz nie ma 1. Z gory dziekuje z pomoc Wydaje mi sie iz wszystkie zalecenia zrobilem. Nie usunalem z panelu sterowania ASK Toolbar (nie moge)ale tego programu na kompie juz nie ma. OTL.Txt GMER.txt AdwCleanerS1.txt OTL -pkt1.txt Edytowane 14 Lipca 2012 przez picasso Proszę używaj opcji Edytuj, gdy nikt jeszcze nie odpisał. Posty scalam. //picasso Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Infekcja nie została usunięta, prawie nic nie zostało wykonane. Skrypt do OTL nie przetworzony, bo się pomyliłeś. Ominąłeś wklejenie dyrektywy :OTL, skutki to nie przetworzenie 90% skryptu i linie z markerem Error: Unable to interpret. 1. Powtórka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe () O4 - HKLM..\Run: [TkBellExe] "realsched.exe" -osboot File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe () O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.): O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - File not found FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: {1CE11043-9A15-4207-A565-0C94C42D590D}:11.3.7.0 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\janek\USTAWI~1\Temp\DAT2E.tmp.exe -- (nxezjkvxxtxjezf) DRV - [2010-10-22 18:12:53 | 000,044,288 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS1\system32\drivers\uebsa.sys -- (viakwtbl) [2012-07-13 23:19:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\hmpmvfppoyrcrxb [2012-07-13 23:19:06 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\keldoknugpwdmuj [2011-01-13 21:11:40 | 000,000,272 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixD [2011-01-13 21:11:40 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixDr [2011-01-13 21:11:35 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\xNK67KheixD [2010-09-17 20:26:54 | 000,297,438 | ---- | C] () -- C:\WINDOWS1\System32\shimg.dll [2010-07-20 18:40:34 | 000,203,776 | -HS- | C] () -- C:\WINDOWS1\System32\unrar.exe [2010-09-02 19:43:43 | 000,000,000 | ---D | M] (Adobe Flash Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{1CE11043-9A15-4207-A565-0C94C42D590D} [2007-11-02 16:32:05 | 000,000,000 | ---D | M] (AdVantage) -- C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
Janus1 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Teraz powinno byc ok 07172012_200617.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Teraz zadanie zostało wykonane poprawnie. Tylko dlaczego OTL zrobiony ponownie z poziomu Trybu awaryjnego, skoro system został odblokowany? Możemy przejść dalej: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\WINDOWS1\erdnt. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Widzę zainstalowany MBAM. Na wszelki wypadek zrób w nim pełne (nie ekspresowe) skanowanie, bo w logu był przynajmniej jeden obiekt który on wykrywa (czyli skan uprzednio albo zrobiony ekspresem albo wcale). Gdyby coś wykrył = pokaż. 4. Ważne aktualizacje: KLIK. A tu z Twojej listy zainstalowanych wykaz wersji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage ----> brak pakietu SP"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF)"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10 Rozszczepienie Gadu też punktuję, z powodów: GG7 to kiepskie bezpieczeństwo (brak szyfrowania) + brak kompatybilności z własną siecią, GG10 to niewiarygodne spożycie zasobów systemowych + ogłuszająca ilość komercji. Sugeruję oglądnięcie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, bądź AQQ. Opisy tu: KLIK. 5. Jako zamknięcie dobór antywirusa. Z darmowych przykładowe propozycje: Avast, AVG, COMODO, Panda Cloud Antivirus, Microsoft Security Essentials. . Odnośnik do komentarza
Janus1 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Przeskanowalem i wykryl jeden obiekt - w zalaczniku mbam-log-2012-07-17 (22-00-07).txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Zignoruj ten wynik, wygląda na to na fałszywy alarm, to kopia Internet Explorer w cache plików Service Pack. Wątpię, by była zainfekowana. Końcowe zalecenia otrzymałeś. Daj sygnał do zamknięcia tematu. . Odnośnik do komentarza
Janus1 Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Zadania wykonane, dziekuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi