Spikerr Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Witam. Niedawno właśnie wyskoczył mi wirus Ukash związany z zapłaceniem kwoty..Proszę o pomoc. Daję loga z OTL. Dałem skanowanie z plikami młodszymi niż 7 dni ponieważ problem pojawił się dzisiaj. Proszę o pilną pomoc Udało się jednak. Naprawiłem to znajdując w logu OTL gdzie się znajduję ten plik i folder. Usunąłem je i działa. Powiedzcie mi jednak czy mogę się przed tym jakoś zabezpieczyć? OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Tu wcale nie koniec roboty. I poza "Ukash" masz też tego trojana: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\spynet\server.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\spynet\server.exe 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=902715f4-0ca9-11e1-8f0c-001a9267b4e6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112089&tt=280612_7_&babsrc=HP_ss&mntrId=6c73ab9300000000000000ffaf216a0a" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112089&tt=280612_7_&babsrc=KW_ss&mntrId=6c73ab9300000000000000ffaf216a0a&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\qa99e403.default\searchplugins\startsear.xml [2012-06-28 15:55:28 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [zydjxizgqoigpoj] C:\Documents and Settings\All Users\Dane aplikacji\zydjxizg.exe () O4 - HKCU..\Run: [zydjxizgqoigpoj] C:\Documents and Settings\All Users\Dane aplikacji\zydjxizg.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\spynet\server.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\spynet\server.exe :Files autorun.inf /alldrives C:\WINDOWS\system32\spynet C:\Documents and Settings\Admin\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\bdtiyajpmaggvhq C:\Documents and Settings\All Users\Dane aplikacji\ulxrfvlkqjbfaki :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{77D009C2-C53F-49F2-BFF5-967ECC51782A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{77D009C2-C53F-49F2-BFF5-967ECC51782A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / BabylonObjectInstaller / Babylon toolbar on IE / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: Complitly / vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie na dodatkowym warunku - do okna Własne opcje skanowania/Skrypt wklej: HKLM\Software\Microsoft\active setup\installed components /s Wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Spikerr Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Kiedy wklejam ten skrypt co mi kazałeś i daję wykonaj skrypt, to niestety ale zatrzymuje się na moving file autorun.inf czy coś takiego i potem już dalej nie idzie. Czekałem jakąś godzine i nic nie ruszyło. Okazało się, że brak odpowiedzi. Jeszcze raz dam logi te obecne, bo to może mieć związek coś z tym że ja te pliki usunąłem a logi dałem jeszcze przed usunięciem. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 (edytowane) A gdzie jest wykonany punkt 2 i 3? Log pokazuje że nadal jest to wszystko nie odinstalowane. I w punkcie 4 pisałem jak ma byc wykonany log, na dodatkowym warunku więc wykonaj wszystko i sporządź nowy log. Bez extras (to tez pisałem wcześniej) Edytowane 28 Sierpnia 2012 przez picasso 28.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi