KubaSzelski Opublikowano 21 Lipca 2012 Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Witam Poprosze o pomoc w usunięciu Ukasha Na laptopie mam WIndowsa Vistę Home Premium (instalacja bodaj 2008). Uruchamiając nie ma (lub nie znalazłem) możliwości wejścia w tryb awaryjny - można jedynie wejść do Biosa (F2), próby z F8 lub innymi funkcyjnymi nic nie dały. Laptop uruchamia się więc tylko w trybie normalnym - po kilkunastu sekundach jest blokowany poprzez znaną planszę. Wpisywanie kodów CERT bez rezultatów (podpięty lub nie do sieci) Na laptopie nie było wcześniej OLT, ani FRST (proszę wybaczyć lamerstwo ale nie wiem, który powinien być 32 czy 64 bitowy?) No i nie wiem w jaki sposó miałbym sporządzić logi w OLT - co można zrobić w tym przypadku? Dzięki za wszelkie wsparcie ============================== Korekta - udało mi się wejść w trybie awaryjnym, mam nadzieję, że podeślę logi OTL jeśli nie dam rady Dorzucam pliki OLT i extras OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Lipca 2012 Zgłoś Udostępnij Opublikowano 21 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\vfilter.sys -- (vfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Gregorio\AppData\Roaming\Mozilla\Firefox\Profiles\2wtg5zl7.default\searchplugins\startsear.xml [2011-08-31 12:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003..\Run: [Acer Tour Reminder] File not found O4 - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003..\Run: [Akamai NetSession Interface] C:\Users\Gregorio\AppData\Local\Akamai\netsession_win.exe File not found O4 - HKU\S-1-5-21-2582580472-3220378888-3125756241-1003..\Run: [Rubin] C:\Users\Gregorio\AppData\Local\Rubin\rubin.exe silent File not found :Files C:\ProgramData\dxhdyszxkqtokvb C:\ProgramData\kpdyrxxcghcpjwj C:\ProgramData\iknzqfrp.exe C:\Users\Gregorio\0.7400205606615132.exe C:\Users\Gregorio\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{93474F44-C419-41A5-B812-AB41D5B7A6F5}" [HKEY_USERS\S-1-5-21-2582580472-3220378888-3125756241-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{93474F44-C419-41A5-B812-AB41D5B7A6F5}" [HKEY_USERS\S-1-5-21-2582580472-3220378888-3125756241-1003\Software\Microsoft\Windows\CurrentVersion\Run] "iknzqfrpkvepdzc"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
KubaSzelski Opublikowano 22 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Operacje wg. wskazówek przeprowadziłem Nie startowałem jeszcze kopmputera w trybie normalnym (ale za chwilę to zrobię) Tymczasem przesyłam aktualny log OTL OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Lipca 2012 Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Spokojnie możesz startować już w normalnym trybie, infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
KubaSzelski Opublikowano 22 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Wygląda, że gra wszystko Dzięki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi