Skocz do zawartości

Zablokowany laptop - wirus UKASH


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W zasadach działu (KLIK) jest wyraźnie napisane, by nie poganiać i nie pisać postów pod postem, tylko cierpliwie czekać na swoją kolej. Jest tu wielu użytkowników potrzebujących pomocy i założyli tematy wcześniej niż Ty, toteż mają priorytet. Post do kosza poleciał.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" 
FF - user.js..browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
FF - user.js..browser.search.defaultenginename: "Search the web"
FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Mariusz\AppData\Roaming\toolplugin\toolbar.dll ()
O4 - HKU\S-1-5-21-1382602039-383807292-2093696535-1000..\Run: [ofnosdismpkeets] C:\ProgramData\ofnosdis.exe ()
 
:Files
C:\ProgramData\jshwaqqwmodhppn
C:\ProgramData\mozntvobebmikqv
C:\Users\Mariusz\0.9702954605995177.exe
C:\Users\Mariusz\AppData\Roaming\toolplugin
C:\Users\Mariusz\AppData\Roaming\Oxiz
C:\Users\Mariusz\AppData\Roaming\Urar
C:\Users\Mariusz\AppData\Roaming\Vevymy
C:\Users\Mariusz\AppData\Local\Temp*.html
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Jest tu bardzo niepożądana kombinacja, podwójny zestaw ochronny Avast + GData Internet Security. Szybka droga do zawiasów systemu. Należy jednego z nich się pozbyć, a że GData starszy, sugeruję to właśnie. Następnie z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem: KLIK.

 

3. Kolejny krok to deinstalacja adware / śmieci. Przez Panel sterowania usuń Przyspiesz Komputer + w Firefox toolplugin.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

 

.

Odnośnik do komentarza
niestety nie udało mi się zgrac logów z usunięcia z OTL pkt 1.

 

Log z usuwania jest tworzony automatycznie w katalogu kwarantanny C:\_OTL. Niemniej pokazywanie tego już pomińmy, widać w nowym skanie OTL zaszłe zmiany. Przejdź do wykonania:

 

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. W Dzienniku zdarzeń błąd WMI numer 10. Instrukcje naprawcze dla systemu Vista: KB950375.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport.

 

5. Aktualizacje do przeprowadzenia: KLIK. Z Twojej listy zainstalowanych status wersji bieżących:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 15

"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish

"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1

"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wersja dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla FF)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"KLiteCodecPack_is1" = K-Lite Codec Pack 4.7.5 (Full)

"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)

 

+ OTL wykonuje detekcję Google Chrome (i to w archaicznej wersji 9.0.597.98), niemniej ja nie widzę tej pozycji na liście zainstalowanych. Potwierdź czy Google Chrome tu nie istnieje, to podam instrukcje wyrzucenia tego z dysku + rejestru.

 

 

PS. Sugeruję też rozprawić się z Gadu-Gadu 10. To potwór jedzący zasoby i dręczący reklamami. w artykule Darmowe komunikatory opisane alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ.

 

 

.

Odnośnik do komentarza
  • 3 miesiące temu...

Witam.

 

Ponownie lapek został zablokowany przez wirusa.

 

Wrzucam logi i proszę również o odpowiedź na pytanie, jaki program może uchronić przed tym wirusem w przyszłości ?

 

Aha, zapytam jeszcze czy mozna wkleić stary skrypt, który został stworzony do tego samego lapka podczas wczesniejszej infekcji ?

 

System jest ten sam.

 

EDIT: Udało mi się usunąc wirusa za pomocą Anti-Malware.

 

Nie wiem jednak czy to definitywnie pomogło zrobiłem więc jeszcze logi po odratowaniu kompa.

 

 

Pozdrawiam, Paweł

OTL.Txt

Extras.Txt

Odnośnik do komentarza

nightmare, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie posta pod postem. Posty sklejam, zostawiam tylko najświeższe logi. Oba Twoje tematy też sklejam, zbyt szybko jesteś ponownie ..

 

 

Aha, zapytam jeszcze czy mozna wkleić stary skrypt, który został stworzony do tego samego lapka podczas wczesniejszej infekcji ?

 

Nigdy się tego nie robi. Skrypt jest aktualny tylko i wyłącznie w momencie, gdy go przygotowano pod konkretną infekcję na podstawie konkretnych logów. To nic nie oznacza, że UKASH znów się pojawił, ta infekcja ma wiele wariantów i tworzy losowe obiekty. Krótko: brak uniwersalnego skryptu.

 

 

Udało mi się usunąc wirusa za pomocą Anti-Malware.

 

Nie do końca usunięte. Właściwie widzę, że skaner usunął tylko jeden plik. Nadal w starcie skrót infekcji:

 

O4 - Startup: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk =  File not found

 

Poza tym na dysku poboczny plik *.pad oraz multum katalogów infekcji.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\Mariusz\AppData\Roaming\Veilti
C:\Users\Mariusz\AppData\Roaming\Gahyr
C:\Users\Mariusz\AppData\Roaming\Epqy
C:\Users\Mariusz\AppData\Roaming\Yvhi
C:\Users\Mariusz\AppData\Roaming\Ysleu
C:\Users\Mariusz\AppData\Roaming\Ultiog
C:\ProgramData\0tbpw.pad
C:\Users\Mariusz\AppData\Roaming\mozilla\firefox\profiles\qzrunldk.default\searchplugins\askcom.xml
C:\Users\Mariusz\AppData\Local\Temp*.html
 
:OTL
IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\..\SearchScopes\{BE32D2CC-6FBA-487A-A42F-8E3B5A528FCE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9FB1A20A-4AED-41F8-A3C8-41D3CBAEB4B0&apn_sauid=761E27B3-F441-4A3F-968F-F180347F13F2"
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab" (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar i Ask Toolbar Updater. Otwórz Firefox i w Dodatkach powtórz deinstalację Ask Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

Edytowane przez picasso
17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...