kamykzgm Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Witam jak jeden z wielu zostalem zainfekowany jakze uprzejmym wirusem ukash. prosze o pomoc w rozwiazaniu problemu poniewaz laptop jest potrzebny do pracy logi z OTL dolaczone OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Dla ścisłości: to nie jest wirus, to trojan kategorii ransomware. I coś tu już było robione, wpis infekcji jest bezplikowy. Poza tym, logi z OTL zrobione z poziomu złego konta, czyli wbudowanego w system Administratora: Computer Name: YOUR-D9F4EA9690 | User Name: Administrator | Logged in as Administrator. To konto nawet nie było czynne wcześniej, co dopiero został zrzucony na dysk nowy folder "Administrator". Logi muszą być robione z poziimu konta na którym jest problem, gdyż rejestry i foldery kont są różne = różne logi. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-30624221-3009324109-2696270851-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [WWanAPI] C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3308\WWanAPI.exe File not found O4 - HKU\S-1-5-21-30624221-3009324109-2696270851-500..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe File not found IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111224193740718&tb_oid=24-12-2011&tb_mrud=24-12-2011" DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) :Files C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3308 C:\Documents and Settings\Kasia\Dane aplikacji\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Loguj się na konto użytkownika a nie Administratora. 2. Przez Panel sterowania odinstaluj adware Winamp Toolbar. Popraw w AdwCleaner opcją Delete. Z tego działania powstanie log na dysku C. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2. . Odnośnik do komentarza
kamykzgm Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 problem chyba rozwiazany dolaczam logi o ktore prosiles niestety nie moge zalaczyc pliku z logami po usunieciu a wiec wklejam jego tresc tutaj: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-30624221-3009324109-2696270851-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WWanAPI deleted successfully. Registry value HKEY_USERS\S-1-5-21-30624221-3009324109-2696270851-500\Software\Microsoft\Windows\CurrentVersion\Run\\swg deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}\ not found. Service SSPORT stopped successfully! Service SSPORT deleted successfully! File C:\WINDOWS\system32\Drivers\SSPORT.sys not found. ========== FILES ========== File\Folder C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3308 not found. File\Folder C:\Documents and Settings\Kasia\Dane aplikacji\hellomoto not found. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 229404 bytes ->Temporary Internet Files folder emptied: 1216548 bytes ->FireFox cache emptied: 79974257 bytes ->Flash cache emptied: 899 bytes User: Administrator.YOUR-D9F4EA9690 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->FireFox cache emptied: 9549468 bytes ->Flash cache emptied: 456 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: Kasia User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Ogólny ->Temp folder emptied: 82100143 bytes ->Temporary Internet Files folder emptied: 189104 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 106507525 bytes ->Flash cache emptied: 3409 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 704036 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 31791403 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 298,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07162012_130504 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 niestety nie moge zalaczyc pliku z logami po usunieciu a wiec wklejam jego tresc tutaj Zasady działu + Pomoc forum objaśniają, że załączniki akceptują tylko rozszerzenie *.TXT a tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. 1. Wymagana drobna poprawka szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [] File not found O24 - Desktop Components:1 () - "http://ggao.hit.gemius.pl/hitredir/id=zI5KrvfBDwAuiiAI8SBcJZciDoygK5tq3u9B4IWJ3Yr.97/stparam=koclqkesaw/fastid=1297036692683375912/sarg=0000000A898E5D14/url=http://adserver.gadu-gadu.pl/click10.asp?uid=6124513&adid=23323&campid=8489&url=http%3A%2F%2Ftracking.quisma.com%2Fc.cfs%3Fpid%3D61497223627S1179822T%26gkid%3DPMQ814c46fc5c21fe6" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20111224193740718&tb_oid=24-12-2011&tb_mrud=24-12-2011&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20111224193740718&tb_oid=24-12-2011&tb_mrud=24-12-2011&query=" [2011-12-24 21:43:50 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla\Firefox\Profiles\a4lvmivk.default\searchplugins\aol-web-search.xml [2012-07-14 21:56:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kasia\Dane aplikacji\hellomoto :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
kamykzgm Opublikowano 12 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 witam niestety ale mam problem z moim drugim laptopem problem to blokada komputera niby z powodu zlamania prawa polskiego czyli problem zwiazany z ukash wklejam logi i prosze o pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [yvwovuwqdxaszsc] D:\Documents and Settings\All Users\Dane aplikacji\yvwovuwq.exe () :Files D:\Documents and Settings\All Users\Dane aplikacji\dimwjbcidkvtmcn D:\Documents and Settings\All Users\Dane aplikacji\gqmpseuvjzysddv D:\Documents and Settings\Motofart\0.7050445320611559.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
kamykzgm Opublikowano 12 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 dziekuje za szybka pomoc zalaczam logi OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi