UKASH

[stanislav]

Dzień dobry.

Wirus zablokował komputer, wyświetla się informacja o złamaniu prawa - temat już chyba znany. Niczego nie robiłem na własną rękę, uprzejmie proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Logi zrobione z poziomu nieprawidłowego konta, wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: USER-113833688F | User Name: Administrator | Logged in as Administrator.

 

Konta mają rożne rejestry i foldery. W aktualnych logach nie widać wpisów startowych infekcji, tylko pliki na dysku, a to oznacza że usuwanie nie może się odbyć w pełny sposób za jednym zamachem.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\ogedckuk.exe
C:\Documents and Settings\All Users\Dane aplikacji\nlyvktceveyxkkt
C:\Documents and Settings\All Users\Dane aplikacji\qlcorsetjnhirlb
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
 
:OTL
O4 - HKLM..\Run: []  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.searchgateway.net/search/"
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany, loguj się na właściwe konto.

 

2. Przez Panel sterowania odinstaluj adware IncrediMail MediaBar 2 Toolbar, pdfforge Toolbar oraz wszystkie wystąpienia Yahoo.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[stanislav]

Logi:

AdwCleanerS2.txt

OTL.Txt

[picasso]

Logi są teraz zrobione z poziomu właściwego konta, widać więcej wpisów.

 

1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-1482476501-1409082233-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.searchgateway.net/search/"
IE - HKU\S-1-5-21-1482476501-1409082233-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://www.searchgateway.net/search/"
IE - HKU\S-1-5-21-1482476501-1409082233-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKU\S-1-5-21-1482476501-1409082233-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKU\S-1-5-21-1482476501-1409082233-725345543-1003..\Run: [ogedckukvjtwdum] C:\Documents and Settings\All Users\Dane aplikacji\ogedckuk.exe File not found
 
:Files
C:\Documents and Settings\User\ms.exe
C:\Documents and Settings\User\0.9529771129284417.exe
C:\FOUND.*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nie ma potrzeby robienia nowego skanu. Log stosunkowo krótki = wklej go wprost do posta.

 

 

 

.

[stanislav]

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1\ deleted successfully.

C:\Program Files\Yahoo!\Common\npyaxmpb.dll moved successfully.

HKU\S-1-5-21-1482476501-1409082233-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!

HKU\S-1-5-21-1482476501-1409082233-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!

Registry value HKEY_USERS\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.

Registry value HKEY_USERS\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\ogedckukvjtwdum deleted successfully.

========== FILES ==========

C:\Documents and Settings\User\ms.exe moved successfully.

C:\Documents and Settings\User\0.9529771129284417.exe moved successfully.

C:\FOUND.002 folder moved successfully.

C:\FOUND.000 folder moved successfully.

C:\FOUND.001 folder moved successfully.

C:\FOUND.003 folder moved successfully.

C:\FOUND.008 folder moved successfully.

C:\FOUND.004 folder moved successfully.

C:\FOUND.005 folder moved successfully.

C:\FOUND.006 folder moved successfully.

C:\FOUND.007 folder moved successfully.

C:\FOUND.009 folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ not found.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

 

OTL by OldTimer - Version 3.2.58.1 log created on 08212012_105957

 

 

Dziękuję za pomoc.

[picasso]

Zrobione. Kończymy:

 

1. Ręcznie dokasuj folder C:\Program Files\Yahoo!.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co chodzi:

 

Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 29
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak SP3
"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera)

 

Najlepiej odinstalować wszystkie stare Java i Adobe, na czysto zainstalować najnowsze wersje.

 

 

.