bartcor Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam. Zwracam się do Was o pomoc w zwalczeniu popularnego ostatnio wirusa "ukash". System Win7 (32-bit). Logi zostały wygenerowane w trybie awaryjnym (bez obsługi sieci). OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-4255967338-3526809356-1881658616-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll File not found FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: d:\Program Files\Veetle\plugins\npVeetle.dll File not found FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: d:\Program Files\Veetle\Player\npvlc.dll File not found O4 - HKU\S-1-5-21-4255967338-3526809356-1881658616-1000..\Run: [klzedxtuhbjymeh] C:\ProgramData\klzedxtu.exe () [2012-07-24 21:15:49 | 000,000,000 | ---D | C] -- C:\ProgramData\jytmlobchwcxxac [2012-07-24 21:15:50 | 000,000,051 | ---- | M] () -- C:\ProgramData\mqpdetzhznhysbk [2012-07-24 21:15:43 | 000,057,344 | ---- | M] () -- C:\Users\KIEROWNIK\0.7171704977813668.exe [2011-07-18 19:06:15 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-10-19 17:33:15 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyOverride"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 3. Uruchom AdwCleaner i zastosuj Delete (pod kątem pozostałości vShare w Firefox i Google Chrome). Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
bartcor Opublikowano 25 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Wirus już się nie uruchamia. Wszystko wskazuje na to, że po wirusie ukash nie zostało śladu w komputerze. Bardzo dziękuję za pomoc. Na pewno wyślę jakąś dotację za rozwiązanie mojego problemu AdwCleanerS1.txt OTL_punkt_4.Txt OTL_po_wykonaniu_skryptu.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Wszystko zrobione. 1. Mini poprawki. W Google Chrome ustaw w opcjach stronę startową. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-4255967338-3526809356-1881658616-1000..\Run: [Akamai NetSession Interface] "C:\Users\KIEROWNIK\AppData\Local\Akamai\netsession_win.exe" File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. Aktualizacje: KLIK. Konkretnie z Twojej listy: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Stara Java = infekcja. . Odnośnik do komentarza
bartcor Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Wszystkie kroki wykonane. Nie znaleziono żadnych zagrożeń w Malwarebytes Anti-Malware. Jeszcze raz dziękuję za pomoc. Przekazałem na forum skromną darowiznę. Doceniam to co robicie Odnośnik do komentarza
Rekomendowane odpowiedzi