Patoshik Opublikowano 22 Lipca 2012 Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Z przykrością stwierdzam, że stałem się kolejną ofiarą podstępnego UKASHA. Uprzejmie proszę o pomoc, zamieszczam logi. Z góry dziękuję! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Był tu stosowany ComboFix, na ten temat: KLIK. Nie został przedstawiony jego log utworzony podczas uruchomienia. Logi z OTL zrobione z poziomu złego konta, wbudowanego w system Administratora a nie konta użytkownika (co wpływa na różnice w logach): Computer Name: MOJATOSHIBKA | User Name: Administrator | Logged in as Administrator. W systemie są ślady gorszego trojana ZeroAccess. Podaj skan dodatkowy. Zaloguj się na konto użytkownika. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw raport wynikowy. . Odnośnik do komentarza
Patoshik Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Na wstępie chciałbym podziękować za zainteresowanie moim problemem i przeprosić za nieprawidłowe logi, niestety ale jestem zielony w tym temacie. załączam logi z OTL wykonane z poziomu użytkownika + log z systemlook OTL.Txt Extras.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v UIAutomationCore /f reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {A28E620B-DD46-4C2D-B452-B56208436DFD} /f reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000055-9980-0010-8000-00AA00389B71}" /f reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}" /f reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}" /f reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D27CDB6E-AE6D-11CF-96B8-444553540000}" /f sc delete TfSysMon sc delete TfNetMon sc delete TfFsMon sc delete catchme sc delete ATE_PROCMON Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{c5ebefdd-2824-6678-53a0-d382d862bd6d} "C:\Documents and Settings\asieńka\Ustawienia lokalne\Dane aplikacji\{c5ebefdd-2824-6678-53a0-d382d862bd6d}" "C:\Documents and Settings\asieńka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3847" "C:\Documents and Settings\asieńka\Dane aplikacji\hellomoto" "C:\Documents and Settings\asieńka\Dane aplikacji\Thepluslove" "C:\Documents and Settings\All Users\Dane aplikacji\6F638BEC1FB7617F29FFD0AC4A1743B3" DeleteFile: "C:\Documents and Settings\asieńka\Dane aplikacji\Mozilla\Firefox\Profiles\4kevi7fb.default\searchplugins\askcom.xml" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Przez Panel sterowania odinstaluj adware Ask Toolbar oraz przestarzały program Spybot - Search & Destroy. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wklej do posta zawartość raportu BlitzBlank, dołącz log z AdwCleaner z punktu 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :folderfind {c5ebefdd-2824-6678-53a0-d382d862bd6d} . Odnośnik do komentarza
Patoshik Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Wykonałem wszystko wg instrukcji. Niestety nie udało mi się usunąć ask toolbar (nie znalazłem go na liście dodaj usuń programy). wstyd się przyznać, ale przez przypadek usunąłem (trwale) log z blitzblank. mam nadzieję, że nie będzie to wielkim problemem. załączam pozostałe logi. OTL.Txt SystemLook.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 (edytowane) FIX.BAT nie wykonał się w sposób całkowity. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "l" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PTV&o=15184&locale=en_US&apn_uid=85DAEB19-8EB7-4377-BC96-6675DE3F4430&apn_ptnrs=RY&apn_sauid=7710B199-8B54-4F1E-9F04-C624DDF16E2A&apn_dtid=&q=" O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/fhg.CAB" (Reg Error: Key error.) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "http://download.divx.com/player/DivXBrowserPlugin.cab" (Reg Error: Key error.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfSysMon.sys -- (TfSysMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfFsMon.sys -- (TfFsMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\blzblk.sys -- (blzblk) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) [2012-07-22 16:36:29 | 000,098,992 | ---- | C] (Kaspersky Lab, GERT) -- C:\WINDOWS\System32\drivers\65428895.sys :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A28E620B-DD46-4C2D-B452-B56208436DFD}" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Files reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj + szukanie w SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Edytowane 26 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi