smod3r Opublikowano 7 Września 2012 Zgłoś Udostępnij Opublikowano 7 Września 2012 Witam, mój laptop został zainfekowany przez oprogramowanie UKASH. Udało mi się przeskanować system zwykłym antywirusem i na chwilę uporać się z blokadą komputera lecz problem powrócił i postanowiłem zgłosić się na forum. Przeskanowałem system programem OTL i przesłałem w załączniku logi. Proszę o pomoc w usunięciu szkodliwego oprogramowania. Z góry dziękuje. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 W logu brak oznak tej infekcji w stanie czynnym, czyli wpisu startowego (widzialny tylko odpadek na dysku). Log jest zrobiony zresztą z poziomu Trybu normalnego a nie awaryjnego, co wskazuje że podczas jego wytwarzania problem nie był obecny. Możliwości: - logi pochodzą sprzed reinfekcji - logi są zrobione z poziomu innego konta niż to na którym jest problem (logi muszą być zrobione z konta zainfekowanego) - ComboFix (ślady uruchomienia w logu OTL) usunął tę infekcję. Określ dokładniej wymieniane aspekty, dołącz log ComboFix utworzony wtedy przez narzędzie (C:\ComboFix.txt). . Odnośnik do komentarza
smod3r Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Na początku użyłem programu ComboFix. Przesyłam log z tej operacji. EDIT: Poprawny log w następnym poście. Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Ten log jest ... kompletnie pusty. I wypowiedz się wyraźnie, czy aktualnie jest blokada UKASH, bo ja nie widzę tego w logu OTL (a czyszczenie odpadków dopiero po potwierdzeniu tego o co pytam). . Odnośnik do komentarza
smod3r Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Rzeczywiście, nie mam pojęcia co stało się z tym logiem. Wysyłam raz jeszcze. Wirus aktualnie nie blokuje komputera ale obawiam się, że może w każdej chwili znowu się pojawić i chcę się tylko dowiedzieć czy nadal jest na moim dysku czy już jest nieszkodliwy. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Wirus aktualnie nie blokuje komputera ale obawiam się, że może w każdej chwili znowu się pojawić i chcę się tylko dowiedzieć czy nadal jest na moim dysku czy już jest nieszkodliwy. ComboFix go usuwał, jak mówię na dysku są tylko resztki (to zaraz doczyszczę). Reinfekcja zapewne nie nastąpiła po stronie elementu w systemie, tylko poprzez odwiedzenie po raz kolejny strony, która to ładuje... 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\mowftejrfjgkeik C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\searchplugins\conduit.xml :OTL FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledAddons: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.15.1.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\UIUSys.sys -- (UIUSys) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\DELLD4~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
smod3r Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Nie mogę wysłać pliku z wynikami usuwania OTL. Pojawia się komunikat, że nie mam uprawnień do wysyłania tego typu plików. Zmiana nazwy również nie pomaga. Wkleję tutaj całość. All processes killed ========== FILES ========== C:\Documents and Settings\All Users\Dane aplikacji\mowftejrfjgkeik moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\searchplugin folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\Plugins folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\modules folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\META-INF folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\defaults folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\components folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\chrome folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} folder moved successfully. C:\Documents and Settings\DELL D420\Dane aplikacji\Mozilla\Firefox\Profiles\kgu31unb.default\searchplugins\conduit.xml moved successfully. ========== OTL ========== Prefs.js: "uTorrentBar Customized Web Search" removed from browser.search.defaultthis.engineName Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl Prefs.js: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.15.1.0 removed from extensions.enabledAddons Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" removed from keyword.URL Service UIUSys stopped successfully! Service UIUSys deleted successfully! File system32\drivers\UIUSys.sys not found. Error: No service named mbr was found to stop! Service\Driver key mbr not found. File C:\ComboFix\mbr.sys not found. Service catchme stopped successfully! Service catchme deleted successfully! File C:\DOCUME~1\DELLD4~1\USTAWI~1\Temp\catchme.sys not found. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->FireFox cache emptied: 5951674 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: DELL D420 ->Temp folder emptied: 2946826 bytes ->Temporary Internet Files folder emptied: 1483364 bytes ->FireFox cache emptied: 252502403 bytes ->Flash cache emptied: 12401 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352022 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 363520 bytes Total Files Cleaned = 253,00 mb OTL by OldTimer - Version 3.2.61.1 log created on 09082012_134916 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Zadanie wykonane. Czynności końcowe: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę: D:\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie. 2. Wykonaj aktualizacje (KLIK) poniższych aplikacji: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3 Nie mogę wysłać pliku z wynikami usuwania OTL. Pojawia się komunikat, że nie mam uprawnień do wysyłania tego typu plików. Zmiana nazwy również nie pomaga. Zasady działu + Pomoc forum objaśniają, że Załączniki przyjmują tylko format *.TXT a tu jest *.LOG. Zmiana nazwy na pewno pomaga, tylko trzeba widzieć rozszerzenia (Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczone Ukrywaj rozszerzenia znanych typów plików), by nie robić takiego kuriozum nie będąc tego świadomym: plik.txt.log. . Odnośnik do komentarza
smod3r Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Oki, wszystko gra, dziękuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi