sheila Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Mój komputer został zaatakowany przez Ukash'a Dodatkowo miałam też problem z "Live Security Platinum" - usunięty (mam nadzieję - sprawdzić nie mogę przez Ukash'a właśnie) zgodnie z instrukcją ze strony: http://www.bleepingc...curity-platinum Załączam OLT i Extras. Bardzo proszę o pomoc! Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Live Security Platinum usunięte niedokładnie. Ponadto, pewne "subtelne" ślady wskazują, że być może jest tu skasowana z rejestru usługa Centrum zabezpieczeń. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-554042937-2466673035-3133145812-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-554042937-2466673035-3133145812-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKU\S-1-5-21-554042937-2466673035-3133145812-1001..\Run: [WinSyncMetastore] C:\Users\enoweno\AppData\Local\Microsoft\Windows\624\WinSyncMetastore.exe () O7 - HKU\S-1-5-21-554042937-2466673035-3133145812-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\enoweno\AppData\Local\Microsoft\Windows\624 C:\Users\enoweno\AppData\Local\i2b25ix2wxodvpy1s21y887rk2md28348 C:\Users\enoweno\AppData\Roaming\hellomoto C:\Users\enoweno\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\enoweno\Desktop\Live Security Platinum.lnk C:\ProgramData\i2b25ix2wxodvpy1s21y887rk2md28348 C:\ProgramData\0C1CFB1320B86BBB8E17485FE56C34C7 C:\ProgramData\0C1CFB1320B86BBB8E17485FF875F002 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Conduit Engine, Softonic toolbar on IE, TheFreeDictionarycom Toolbar. Przy okazji możesz usunąć zbędniki VAIO Marketing Tools + VAIO Premium Partners 1.00. Następnie otwórz Firefox i w Dodatkach odmontuj softonic.com. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
sheila Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Wielkie dzięki, wygląda na to, że ukasz jest usunięty. Rozumiem, że za mogę się zrewanżować z pomocą linka 'dotacja' na dole posta? W załączeniu logi (niestety tego z użycia skryptu OTL nie mam). AdwCleanerS1.txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wszystko zrobione. Zgodnie z podejrzeniem zostały usunięte z rejestru przez którąś z infekcji dane usług Centrum zabezpieczeń i Windows Defender: Action Center:============wscsvc Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to retrieve start type of wscsvc. The value does not exist.Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of wscsvc. The value does not exist.Unable to retrieve ServiceDll of wscsvc. The value does not exist. Windows Defender:==============WinDefend Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to retrieve start type of WinDefend. The value does not exist.Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of WinDefend. The value does not exist.Unable to retrieve ServiceDll of WinDefend. The value does not exist. Przechodzimy do dalszych czynności: 1. Mikro poprawka na szczątki. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:3.3.1 IE - HKCU\..\URLSearchHook: {d1e06b91-60e6-4492-af9f-53043fa32716} - No CLSID value found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Przeprowadź rekonstrukcję obu usług (omiń sfc /scannow): KLIK + KLIK. 3. Zresetuj system i podaj nowy log z Farbar Service Scanner. Rozumiem, że za mogę się zrewanżować z pomocą linka 'dotacja' na dole posta? Oczywiście, będzie mi bardzo miło, że ktoś docenia moją pracę tutaj. . Odnośnik do komentarza
sheila Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Zrobione, w załączeniu log FSS. FSS.txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Usługi odbudowane. Kończymy: 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + ręcznie skasuj narzędzie Farbar. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wersja dla 64-bitowego IE) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{3E171899-0175-47CC-84C4-562ACDD4C021}" = OpenOffice.org 3.3"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla 32-bitowych Firefox/Opera)"Google Chrome" = Google Chrome"Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl)"Mozilla Thunderbird 13.0.1 (x86 pl)" = Mozilla Thunderbird 13.0.1 (x86 pl) . Odnośnik do komentarza
Rekomendowane odpowiedzi