carter86 Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 (edytowane) Witam, również mam problem z tym wirusem (system Windows XP) bardzo proszę o pomoc. Używałem tylko hitmanpro ale nie przyniosło to żadnego efektu. wysłałem jeszcze drugie logi OTL chyba bardziej poprawne, przepraszam za zamieszanie ale jestem w tym zielony. Extras.Txt OTL.Txt Edytowane 14 Lipca 2012 przez picasso Redukuję nadwyżkę logów. //picasso Odnośnik do komentarza
carter86 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Mi się udało usunąć wirusa stosując się do zaleceń z tej stronki: http://www.malwareexperts.com/how-to-remove-the-ukash-virus/ nie wiem czy na 100% został zlikwidowany ale komputer odpalił się w normalnym trybie. Może komuś się przyda. Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 nie wiem czy na 100% został zlikwidowany ale komputer odpalił się w normalnym trybie. Może komuś się przyda. Proszę o nowe świeże logi OTL z opcji Skanuj. Odnośnik do komentarza
carter86 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Wrzucam logi. Ogólnie przeskanowałem kompa tym programem z linku wyżej 3krotnie. Pierwsze dwa razy w trybie awaryjnym i za każdym razem wykrywało pliki zakarzone. Trzeci raz w trybie normalnym komp już się odpalił bez problemu i żadnych zainfekowanych plików nie wykazało. Zanim to odpaliłem to przeczytałem informację, że na dysku jako pierwszy pojawia się plik 1.2342354672341857.exe(ciąg liczb jest przykładowy chodzi o schemat), który trzeba usunąć (start/wyszukaj pliki lub foldery/ .exe) szeregować według daty utworzenia. Kompa odpalełem już 3 krotnie dzisiaj inie ma problemu z UKASHem więc chyba wszystko jest ok. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Mamy tu jeszcze co robić: widoczne odpadki tej infekcji oraz adware (v9 + startsear.ch po świńskich wtyczkach vShare / LiveVDO). Poza tym, usługa Windows jest wyszczerbiona: SRV - File not found [On_Demand | Stopped] -- -- (MSDTC) 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\qxjtrfadicpvtcz C:\Documents and Settings\All Users\Dane aplikacji\tpfkgkyiatywszh C:\Documents and Settings\Standard\Dane aplikacji\Mozilla\Firefox\Profiles\np7s49g2.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/v9tb/v9tb_1329485402_356016" IE - HKLM\..\SearchScopes\{3E8ECC8E-B48C-4927-A466-F5A7BA3319F2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKU\S-1-5-21-1417001333-790525478-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/v9tb/v9tb_1329485402_356016 IE - HKU\S-1-5-21-1417001333-790525478-1801674531-1003\..\SearchScopes\{3E8ECC8E-B48C-4927-A466-F5A7BA3319F2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem) SRV - File not found [Auto | Stopped] -- C:\Program Files\Google\Update\GoogleUpdate.exe /svc -- (gupdate) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Dark Stars Network\Season 6\MuGuard\llck.sys -- (LLRING0) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hitmanpro36.sys -- (hitmanpro36) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Otwórz Firefox i w Dodatkach odmontuj vShare. Otwórz Google Chrome i w Rozszerzeniach odmontuj LiveVDO. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej to co poniżej i klik w Skanuj (a nie Wykonaj skrypt!): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC /md5start msdtc.exe /md5stop Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
carter86 Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 nowe logi AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2012 Zgłoś Udostępnij Opublikowano 21 Lipca 2012 (edytowane) W kwestii skanu, to OTL wysyła sprzeczne komunikaty, usługa z adnotacją "File not found": SRV - File not found [On_Demand | Stopped] -- -- (MSDTC) ... ale składniki jakoby na miejscu: ========== Custom Scans ========== &--#60; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC &--#62; "ImagePath" = C:\WINDOWS\system32\msdtc.exe -- [2010-03-04 17:55:27 | 000,000,000 | ---D | M] &--#60; MD5 for: MSDTC.EXE &--#62; [2008-04-14 18:51:30 | 000,006,144 | ---- | M] (Microsoft Corporation) MD5=A54C5EECC7D3424824410BAE0AA6C371 -- C:\WINDOWS\system32\dllcache\msdtc.exe [2008-04-14 18:51:30 | 000,006,144 | ---- | M] (Microsoft Corporation) MD5=A54C5EECC7D3424824410BAE0AA6C371 -- C:\WINDOWS\system32\msdtc.exe Niemniej, ten plik w ImagePath ma obliczone inne właściwości (dir) niż plik na dysku. Sprawdź to wprost w rejestrze. Start &--#62; Uruchom &--#62; regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC Powiedz co widzisz w wartości ImagePath. W kwestii skryptu, coś tu niepełnie się wykonało, np. wpisy adware v9 + startsear.ch są nadal na miejscu. 1. W Google Chrome nadal widoczne LiveVDO: ========== Chrome ========== CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\Standard\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dllCHR - Extension: LiveVDO plugin = C:\Documents and Settings\Standard\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\ Do deinstalacji w rozszerzeniach. Natomiast wtyczka wymaga już ręcznej edycji pliku Preferences wg wytycznych z punktu 3: KLIK. Tylko należy nałożyć poprawkę na inną ścieżkę na XP: C:\Documents and Settings\Standard\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default 2. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/v9tb/v9tb_1329485402_356016" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/v9tb/v9tb_1329485402_356016" IE - HKLM\..\SearchScopes\{3E8ECC8E-B48C-4927-A466-F5A7BA3319F2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKCU\..\SearchScopes\{3E8ECC8E-B48C-4927-A466-F5A7BA3319F2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Services gupdatem gupdate AtiHdmiService Klik w Wykonaj skrypt. Tym razem bez restartu. Do oceny wystarczy tylko log z usuwania. . Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi