Pakao Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 Siema, dzisiaj już drugi raz złapałem ukash'a. Wiem że jest to ściema bo koles nawet po polsku nie umie pisać. Załączam logi OTL : Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Października 2012 Zgłoś Udostępnij Opublikowano 11 Października 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\0tbpw.pad C:\ProgramData\lsass.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\Users\Admin\AppData\Roaming\mozilla\firefox\profiles\yqqi1vzq.default\searchplugins\BabylonMngr.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\Admin\AppData\Local\Download Beast C:\Users\Admin\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\user.js :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "BrowserMngr Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- :OTL IE - HKU\S-1-5-21-1550877454-1728830411-3583899275-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=114874&tt=120912_ccp_3912_4&babsrc=SP_ss&mntrId=00129e140000000000000026b6712159" O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKU\S-1-5-21-1550877454-1728830411-3583899275-1001..\Run: [download beast] "C:\Program Files\Download Beast\DownloadBeast.exe" -h File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. Działasz już w Trybie normalnym: 2. Przez Panel sterowania odinstaluj adware Browser Manager, OneTab. Otwórz Firefox i w Dodatkach odinstaluj Babylon, BrowserManager, OneTab. 3. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę, nie może być uruchomiona. Na Pulpit przenieś plik: C:\Users\Admin\AppData\Roaming\mozilla\firefox\profiles\yqqi1vzq.default\prefs.js Ponownie uruchomiony Firefox stworzy nowy czysty prefs.js. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
Pakao Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 Ok logi załączone Czysto? AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Infekcja pomyślnie usunięta. Natomiast mam wątpliwości na temat poprawności wykonania punktu 3 (reset preferencji Firefox), gdyż po takim resecie AdwCleaner nie miał prawa się dopatrzyć adware w prefs.js Firefoxa, a on usuwał z tego pliku adware. Instrukcja albo nie została wykonana, albo została wykonana niepoprawnie (przy uruchomionym Firefox). 1. Drobna poprawka pod kątem dostawców wyszukiwania w Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Z prawokliku na plik wybierz z menu opcję Scal i zatwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. PS. Plik Extras po raz drugi nie był mi potrzebny. Usuwam. . Odnośnik do komentarza
Pakao Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Wykryto jakies 5 infekcji. Log załączony mbam-log-2012-10-12 (09-52-09).txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 1. Wyniki MBAM: Trojan.Agent w DTlite.exe to trojan i do usunięcia, pozostałe wyniki to fałszywe alarmy. 2. Na zakończenie odinstaluj starszą Java 6, zaktualizuj Firefox i Adobe Flash w Firefox oraz Windows (doinstaluj SP1): KLIK. Twój log aktualnie przedstawia: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () . Odnośnik do komentarza
Rekomendowane odpowiedzi