manieqqq Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Witam, komputer znajomego dopadl UKASH, probowalem uruchomic komputer w trybie awaryjnym, ale podczas uruchamiania sie restartuje. Czy moze mi ktos pomoc w jego usunieciu. Zalaczam logi z OTL OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Niestety tutaj może być gorsza sprawa. Oprócz "Ukash" jest też wirus Sality, który infekcje pliki .exe na dysku. Problem z trybem awaryjnym to też jego sprawka, on po prostu usuwa ten tryb, a siedzi w systemie co sugeruje ta usługa Sality: DRV - File not found [Kernel | On_Demand] -- -- (abp470n5) Najpierw jednak pozbądźmy się "Ukash". Widzę, ze skorzystałeś z OTLPE, w takim razie zaczynaj usuwanie: 1. W OTLPE uruchom OTL i w oknie Custom Scan/Fixes wklej taki skrypt: :OTL SRV - File not found [On_Demand] -- -- (CPUCooLServer) DRV - File not found [Kernel | On_Demand] -- -- (upperdev) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand] -- -- (catchme) DRV - File not found [Kernel | On_Demand] -- -- (abp470n5) IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" [2011/04/05 05:36:36 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [ckbcasguvfrakdx] C:\Documents and Settings\All Users\Dane aplikacji\ckbcasgu.exe (Hyundai) O4 - HKU\Admin_ON_C..\Run: [ALLUpdate] File not found O4 - HKU\Admin_ON_C..\Run: [ckbcasguvfrakdx] C:\Documents and Settings\All Users\Dane aplikacji\ckbcasgu.exe (Hyundai) :Files C:\Documents and Settings\Admin\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036E18CD0045EF49E7D7945681CB3F95 C:\Documents and Settings\All Users\Dane aplikacji\dcjsueum.exe C:\Documents and Settings\All Users\Dane aplikacji\xxvkejocvakzvds C:\Documents and Settings\Admin\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\All Users\Dane aplikacji\eprfxomhrrpaqaa :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź normalnie do Windows (blokady już nie powinno być) i sporządź raporty z OTL Odnośnik do komentarza
manieqqq Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Wygenerowalem logi jeszcze raz. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 To teraz bierz się za usuwanie Sality (o ile jest aktywny). 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" :Files netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, daj znać co widział SalityKiller i czy działa awaryjny. Odnośnik do komentarza
manieqqq Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wykonalem wszystkie kroki. SalityKiller uruchomilem tylko raz, o to co wyswietlilo sie na ekranie: Virus.Win32.Sality.aa,ae,ag,bh removing tool, Kaspersky Lab 2010 version 1.3.6.0 Nov 12 2010 10:13:11 scanning threads ... scanning processes ... fixing registry ... Monitoring thread started SalityRegCure: Restoring general registry keys SalityRegCure: Fixing system.ini scanning drives ... scanning C:\ ... scanning D:\ ... Monitoring thread stopped completed Infected files: 0 Infected processes: 0 Infected threads: 0 Cured files: 0 Will be cured on reboot: 0 Executed registry scripts: 1 Aby kontynuować, naciśnij dowolny klawisz . . . Komputer juz mozna uruchomic w trybie awaryjnym. Dzieki za pomoc. Zalaczam jeszcze logi OTL. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wszystko masz usunięte na to wygląda. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi