gr8 Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Witam, komputer został zainfekowany prawdopodobnie wirusem ukash (blokowanie komputera celem zaplaty). Wczesniej niestety załączyłem combofixa i niby problem ustal ale nadal nie mam 100% pewnosci czy wszystko jest ok. Widnows 7 64-bit ComboFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Dla jasności: to nie jest wirus, to trojan z klasy "ransomware". ComboFix usuwał ten skrót infekcji: ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\users\GR8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk Ale nie wszystko zostało usunięte + są odpadki adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\to_r0tsef.pad C:\Users\GR8\AppData\Roaming\Mozilla\Firefox\Profiles\l42fkkpq.default\searchplugins\startsear.xml :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1009667910-4180207110-1182905551-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1009667910-4180207110-1182905551-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" IE - HKU\S-1-5-21-1009667910-4180207110-1182905551-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-1009667910-4180207110-1182905551-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{4A0F87A3-81C0-4485-B9EE-F46E3FBAAF87}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{4A0F87A3-81C0-4485-B9EE-F46E3FBAAF87}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj wtyczkę vShare.tv plugin 1.3 (nośnik adware). 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
gr8 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Logi 07152012_172520.txt OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Zadania pomyślnie wykonane. Przejdź do tej części zadań: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: F:\ComboFix.exe /uninstall 2. Gdy powyższa komenda ukończy, w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych, brak SP1 dla Windows 7 oraz wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja Firefox)"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) ----> do deinstalacji, najnowszy obecny poniżej ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1009667910-4180207110-1182905551-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) PS. Gadu-Gadu 10 = pożeracz zasobów i reklamodawca, polecam obejrzeć alternatywy z obsługą sieci Gadu. W temacie Darmowe komunikatory poczytaj opisy: AQQ, Kadu, WTW, Miranda. . Odnośnik do komentarza
gr8 Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Wszystko działa poprawnie Bardzo dziękuję za pomoc. Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi