Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

UKASH - duży problem!

kubot7

Przez kubot7
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

kubot7

kubot7

Opublikowano
Opublikowano

Witam, sytuacja mojego komputera wygląda tak, ze wczoraj zostal zaatakowany przez tego Trojana i do dzisiaj nie moge sobie z nim poradzic. Podczas startowania systemu probowalem wciskac oraz przytrzymywac klawisz F8, ale klawiatura nie dziala, a komputer nie odpowiada. Probowalem takze wciskac F12 i wyskakuje mi okienko zebym wybral nastepujaca czynnosc jak wczytanie CDROM, USB czy tez FLOOBY, ale klawiatura wtedy znow przestaje dzialac. Jedyne w co moge wejsc to BIOS i tam jedynie co zdzialalem to zmiane wczytywania 1.CD; 2.Hard Disc i tym sposobem wczytala mi sie plyta, ktora wczesniej nagralem (Kaspersky Rescue Disc), przeskanowalem komputer, ale nic nie znalazl o.O Tak wiec uruchomilem komputer normalnie i okazalo sie, ze problem nadal jest ten sam. A wiec sprobowalem ponowic probe z plyta Kasperskiego, ale teraz gdy pojawia mi sie okno Kaspierskiego i prosi zeby wcisnac dowolny klawisz, aby system sie uruchomil klawiatura nie reaguje... HELP!!!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Na problem klawiatury to my ci raczej nie pomożemy i z tym musisz sam się uporać. Albo podpiąć inną klawiaturę do komputera i wtedy działać albo zmienić rodzaj złącza. Nie piszesz jak jest podpięta czy przez USB czy przez PS/2. Jeśli przez USB to radzę sprawdzić w BIOS czy masz Support USB włączony na Enabled (aktywny).

 

Najlepiej by było aby udało ci się wejść w tryb awaryjny bo wtedy blokada nie działa. Napisz jeszcze jaki to system i ilu bitowy bo to ważne. Może spróbujemy wejść właśnie ze środowiska zewnętrznego

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-899994395-764980729-1231617272-1001\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=050412_30b&babsrc=KW_ss&mntrId=00bb99c6000000000000001fd0018487&q="
[2012-04-15 21:14:46 | 000,001,800 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\zjqu8175.default\searchplugins\funmoods.xml
[2012-04-15 21:12:30 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
 
:Files
C:\ProgramData\ijsutvti.exe
C:\ProgramData\koitunzrjmrgvcc
C:\ProgramData\dwmcbibmnzmfwfu
C:\Users\Piotr\0.7187969701657074.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6D3215B2-8217-483D-8EF0-D45439640646}]
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6D3215B2-8217-483D-8EF0-D45439640646}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6BAE986A-4347-4116-8674-0FA7AD9584B7}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[HKEY_USERS\S-1-5-21-899994395-764980729-1231617272-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"ijsutvtinetgpjv"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Conduit Engine / DAEMON Tools Toolbar / vShare.tv plugin 1.3 / Winamp Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Masz usuniętą infekcje. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
  • 4 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

kubot7

- Proszę przeczytać zasady działu: KLIK. Duplikaty tematów są zabronione, a także mają skutki uboczne i temat może spaść jeszcze niżej w kolejce.

- Jesteś tu już po raz drugi z tą samą infekcją nabytą w tak krótkim czasie, tematy sklejam.

 

W aktualnych logach nie widzę śladów infekcji, ale nie napisałeś czym / jak usuwałeś infekcję. Drobne uwagi:

 

1.

CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = "http://search.babylon.com/?q={searchTerms}&tt=010412_crm&babsrc=SP_crm
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}"

 

W Google Chrome jest ustawiona jako domyślna wyszukiwarka adware. Wejdź do ustawień, w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na cokolwiek innego, po tym Search the web (Babylon) skasuj z listy.

 

2.

[2012-07-22 18:47:52 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

 

Przez SHIFT+DEL skasuj folder z dysku.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Końcowe uwagi:

 

1. Jeśli tego nie zrobiłeś, wyczyść ponownie foldery Przywracania systemu.

 

2. Do aktualizacji są te pozycje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) ----> odinstaluj
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu" = Gadu-Gadu 7.7

 

Gadu-Gadu 7.7 też wyliczam, gdyż to aplikacja o bardzo niskim poziomie bezpieczeństwa (brak szyfrowanych połączeń), a także niezgodna z własną siecią. Jeśli szukasz chudej szybkiej alternatywy z obsługą sieci Gadu, to poczytaj artykuł: Darmowe komunikatory. Pod uwagę opisy: WTW, Kadu, Miranda, AQQ (ale ten ma reklamy i nie taki "chudy").

 

 

 

.

Odnośnik do komentarza
kubot7

kubot7

Opublikowano
  • Autor
Opublikowano

Witam,

 

problem, z którym tutaj przychodzę objawia się następująco: po włączeniu komputera zacina się system i nie można nic zrobić. Myszka oraz klawiatura nie reagują. Jedyne co mi wtedy zostaje to wyłączenie/zrestartowanie komputera. Dzisiaj za trzecią próbą uruchomienia komputera zniknęły wszystkie ikony oraz pojawił sie czarny ekran z takową informacją: "Proces logowania nie może utworzyć okna dialogowego opcji zabezpieczeń. Niepowodzenie - opcje zabezpieczeń". Komunikat ten pojawił mi się pierwszy raz. Wczoraj np. podczas korzystania z komputera pojawił sie nagle niebieski ekran i komputer automatycznie sie wyłączył (niestety nie zdążyłem przeczytać co tam jest napisane gdyż działo się to bardzo szybko). Muszę zaznaczyć, że już kiedys mi się tak działo z komputerem, ale wystarczyło wyczyścić go z kurzu od środka i komputer dalej śmigał. Teraz jest juz czysty, ponieważ niedawno go bardzo dokładnie wyczyściłem, a mimo to problem powrócił. Dodam także, że komputer o wiele wolnej chodzi niż przedtem, wydaje mi się, że może mieć na to wpływ niedawny wirus jaki miałem "UKASH", ponieważ po tym wirusie owe skutki zdarzają sie przy każdym włączeniu komputera. Pilnie proszę o pomoc.

 

P.S.

Wirusa usunąłem przy wskazówkach jednego z moderatorów tego fora - "Landussem".

Logi wczoraj zostały sprawdzone przez "picasso" i nie wykryto żadnych błędów.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie, sugeruję testową deinstalację Pandy, by się przekonać czy błąd ustąpi. Wyłączenie nie wchodzi w grę w rozumieniu: nie da się wyłączyć Pandy (ani innych antywirusów podobnej budowy) na tyle kompletnie, by antywirusa wykluczyć jako przyczynę. Opcje po stronie użytkownika to zbyt mało, by zdeaktywować program (nadal się uruchamiają się sterowniki).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...