krevo007 Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Witam proszę o pomoc. Posiadam wirusa jak w temacie "Ukash" wirus Weelsoft. Daje logi OTL OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 To nie jest wirus, to trojan gatunku "ransomware". Było tu kombinowane, tzn. uruchomiony ComboFix, a zasady działu mówią by tego nie ukrywać i podać log z pracy do oceny czy wszystko było prawidłowo. I na temat używania tego narzędzia: KLIK. Natomiast logi z OTL zrobione z poziomu nie tego konta co należy, czyli wbudowanego w system Administratora a nie konta użytkownika Szymek: Computer Name: SZYMEK-65039414 | User Name: Administrator | Logged in as Administrator. To konto nawet nie było czynne przed akcją, widac świeży zrzut katalogu "Administrator" na dysk. Konta mają różne rejestry i katalogi = to ma wpływ na wygląd logów. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [smiEngine] C:\Documents and Settings\Szymek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4280\SmiEngine.exe () O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Szymek\JM5289.sys -- (JM5289) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\Szymek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4280 C:\Documents and Settings\Szymek\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto. 2. Przez Panel sterowania odinstaluj adware Ashampoo PO Toolbar, Conduit Engine, MyAshampoo Toolbar, Winamp Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
krevo007 Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Wielkie Dzięki za pomoc jak narazie działa wszystko cacy. Postąpiłem zgodnie z punktami dołączam następne logi i dodatkowo jeszcze raz ze skanu OTL. OTL.Txt 07172012_212534.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Zadanie podstawowe wykonane, ale wymagane poprawki. Na koncie właściwym są wpisy wymagające interwencji. 1. Otwórz Firefox i w Dodatkach odmontuj: Ashampoo PO Community Toolbar, Conduit Engine, MyAshampoo Community Toolbar, Winamp Toolbar. 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&q=" [2011-11-07 13:37:58 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\Szymek\Dane aplikacji\Mozilla\Firefox\Profiles\pa29w6rr.default\searchplugins\conduit.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
krevo007 Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Done. Daje nowy skan z OTL. Jeszcze raz dziękuje za tak szybką udzieloną pomoc. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 (edytowane) Zrobione, prawie (jeden wpis w preferencjach Firefox nie puścił). Przejdź dalej: 1. Otwórz Firefox, w pasku adresów wklep about:config, wyszukaj keyword.URL i z prawokliku zresetuj do poziomu domyślnego. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz ponownie na Pulpit (KLIK). W Start > Uruchom > wklej komendę: "C:\Documents and Settings\Szymek\Pulpit\ComboFix.exe" /uninstall 3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi