RafalS Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Witam. Proszę o pomoc bo ciężko się tego pozbyć.. Parę wpisów z rejestru usunąłem EasyCleaner'em poza tym specjalnie nie grzebałem, trochę cookies i 1 folder 'UKash'a' z danych aplikacji. Data i czas infekcji : 2012-07-28 19:17 Logi z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\666\USTAWI~1\Temp\SAS_SelfExtract\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\666\USTAWI~1\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336143312_816054 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336143312_816054 IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" FF - prefs.js..browser.search.defaultthis.engineName: "IMVU Inc Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2011-09-10 21:47:49 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-05-25 16:15:24 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\searchplugins\conduit.xml [2012-05-04 18:42:32 | 000,004,030 | ---- | M] () -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\searchplugins\sweetim.xml O3 - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [gslbckqgxhrckpi] C:\Documents and Settings\All Users\Dane aplikacji\gslbckqg.exe (HEC Compucase) O4 - HKU\S-1-5-21-1123561945-1935655697-839522115-1003..\Run: [gslbckqgxhrckpi] C:\Documents and Settings\All Users\Dane aplikacji\gslbckqg.exe (HEC Compucase) :Files C:\Documents and Settings\666\autorun.inf :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-1123561945-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
RafalS Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Dołączam nowy log z OTL. Teraz dopiero ogarnąłem, że obowiązkowy jest również raport GMER ale odpaliłem aplikację i komp się błyskawicznie zresetował. Rozumiem, że mam się zabrać za RootRepeal? Dodam jeszcze, że po wykonaniu skryptu Ukash nie prosi już o daninę Dzięki wielkie! OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Gmera nie musisz mi przy tej infekcji pokazywać. To program na rootkity, a RootRepeal jest nieaktualizowany więc tym bardziej nei warto go używać. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi