UKASH

[extreme94]

Proszę o pomoc.

Windows 7 64bit.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-821938260-1463701890-1576205513-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101382&mntrId=2cf114dd00000000000000092c0004a7"
IE - HKU\S-1-5-21-821938260-1463701890-1576205513-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-821938260-1463701890-1576205513-1000..\Run: [termmgr] C:\Users\ccc\AppData\Local\Microsoft\Windows\3958\termmgr.exe ()
 
:Files
C:\Users\ccc\AppData\Local\Microsoft\Windows\3958
C:\Users\ccc\AppData\Roaming\hellomoto
C:\Users\ccc\AppData\Roaming\mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
C:\Users\ccc\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="Gazeta"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar on IE, DAEMON Tools Toolbar, uTorrentControl2 Toolbar, Winamp Toolbar, XfireXO Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

 

[extreme94]

Proszę bardzo:

 

--------------------------------------

EDIT:

Ledwo wyleczyłem kompa a tu syn znowu z prendrivem z tym samym wirusem przyszedł i jestem w punkcie wyjścia czyli z okienkiem ekashu. Ponownie dodaję logi z nowego skanu:

OTL: http://wklej.org/id/797842/

Extras: http://wklej.org/id/797844/

--------------------------------------

OTL.txt

AdwCleanerS1.txt

OTL - skanowanie.Txt

[picasso]

Ledwo wyleczyłem kompa a tu syn znowu z prendrivem z tym samym wirusem przyszedł i jestem w punkcie wyjścia czyli z okienkiem ekashu.

 

Ta infekcja nie przenosi się via pendrive. Jest ładowana przez odwiedzenie szkodliwego URL: KLIK. Bardziej prawdopodobne się zdaje, że została zwizytowana ponownie szkodliwa strona, być może wyglądająca zaufanie i nie nasuwająca bezpośrednich skojarzeń z infekcją.

 

 

---

Czyli powtórka + dokończenie szczątków po paskach:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
O4 - HKCU..\Run: [termmgr] C:\Users\ccc\AppData\Local\Microsoft\Windows\3958\termmgr.exe ()
 
:Files
C:\Users\ccc\AppData\Local\Microsoft\Windows\3958
C:\Users\ccc\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[extreme94]

U mnie sytuacja wygląda trochę inaczej, ponieważ 2 razy wyświetliło się okienko Ekashu przy ściąganiu 2 różnych filmów z lanowego ftp administratora mojej sieci.

OTL.Txt

[picasso]

Niemniej to dalej połączenie "serwerowe" / "link". W jego sieci mógł nastąpić rodzaj injekcji i podmiana plików na serwerze tak, by ładowały infekcję. Zadanie wykonane. Kończymy:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstaswowe aktualizacje: KLIK. Konkretnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera/Firefox) -----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

.

[extreme94]

3. Wykonaj podstaswowe aktualizacje: KLIK. Konkretnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera/Firefox) -----> już jest najnowsza

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

.

Gdzie wkleić ten skrypt?

[picasso]

Nie wiem skąd Ci przyszło do głowy, że to jakiś ... skrypt. Tu nie ma nic na ten temat. To tylko wyróżniony graficznie z powodów wizualnych fragment listy Twoich programów, a ta lista to spis co masz ręcznie zaktualizować. Wytyczne w linku.

 

 

.