ejmmi Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Witam, Mój komputer został zaatakowany przez wirusa ukash, który go zablokował. Załączam skany i proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Log z OTL nieprawidłowo zrobiony, nie zaznaczyłeś opcji skanowania 64-bitowej części systemu. Konfiguracja na forum: KLIK. W systemie nie tylko blokada, ale także trojan ZeroAccess. Jest on bardziej inwazyjny i kasuje z rejestru usługi Zapory systemu, Centrum zabezpieczeń, Windows Defender i Windows Update. Przy okazji będę usuwać szczątki po Firefox (wygląda na odinstalowany). 1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Zresetuj system w celu odładowania ZeroAccess z pamięci. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-2501701173-2619187248-2710774853-1000..\Run: [G2ds4baCIWYb] C:\G2ds4baCIWYb\G2ds4baCIWYb.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1 :Files C:\G2ds4baCIWYb C:\Users\Jerzy\AppData\Local\{279f0cd3-7cb7-8591-0679-b29f46d1fcaf} C:\Users\Jerzy\AppData\Local\aclxafnj.exe C:\Users\Jerzy\uidsave.dat C:\Program Files (x86)\mozilla firefox :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Zniknie blokada UKASH. Opuść Tryb awaryjny. 3. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\drivers\etc\hosts Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it z artykułu: KB972034. 4. Przez Panel sterowania odinstaluj adware Facemoods Toolbar, FoxTab PDF Converter. Otwórz Google Chrome i w Rozszerzeniach odinstaluj Facemoods. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras, ale przypominam o skanie 64-bitowych wpisów) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look. . Odnośnik do komentarza
ejmmi Opublikowano 1 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Bardzo, bardzo, bardzo dziękuję za pomoc Komputer działa już w trybie normalnym i blokada się nie pokazuje. Przepraszam za nieprawidłowe zrobienie loga z OTL - po raz pierwszy musiałam to zastosować i w ogóle pierwszy raz walczyłam z wirusem na komputerze. Teraz już będę o tym pamiętać. W Google Chrome w Rozszerzeniach nie znalazłam Facemoods. Załączam logi z AdwCleaner, OTL, Farbar Service Scanner oraz SystemLook x64. Mam nadzieję, że o niczym nie zapomniałam. SystemLook 30.07.11 by jpshortstuff Log created at 15:33 on 01/11/2012 by Jerzy Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB -= EOF =- AdwCleanerS1.txt OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Wszystko zrobione. A w usługach nie ma naruszeń, czymś to musiało być naprawiane, ponieważ ZeroAccess na pewno tak modyfikuje system, a nie ma tu śladów uszkodzeń. Wykonaj następujące działania: 1. Mini poprawka na domyślne wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{E6F0AC09-C6DE-4A3B-A29F-4FA1B04B2946}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{E6F0AC09-C6DE-4A3B-A29F-4FA1B04B2946}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę używanych skasuj ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
ejmmi Opublikowano 1 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Zrobiłam pełne skanowanie za pomocą Malwarebytes Anti-Malware i wykryto jeden plik. Załączam raport. Czy mam usunąć ten plik? mbam-log-2012-11-01 (17-56-57).txt Odnośnik do komentarza
picasso Opublikowano 1 Listopada 2012 Zgłoś Udostępnij Opublikowano 1 Listopada 2012 1. Wyniki MBAM: tak, ten plik to jest część infekcji. Usuwaj. 2. Na koniec zaktualizuj Windows i wyliczone poniżej programy: KLIK. Twój log mówi, że brak aktualizacji Windows (SP1 + IE9) oraz są zainstalowane: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski"{9ECF7817-DB11-4FBA-9DF1-296A578D513A}" = Adobe Shockwave Player 11.5"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) W skrócie: uzupełnij wszystko z Windows Update, zainstaluj pakiet SP1 dla Office 2010, a wszystkie podane tu Adobe i Java odinstaluj przed wprowadzeniem najnowszych wersji. Adobe Flash nie musisz instalować, jeśli jedyna używana przeglądarka to Google Chrome (ma własny Flash). . Odnośnik do komentarza
ejmmi Opublikowano 1 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2012 Usunęłam plik i ponownie przeskanowałam dyski za pomocą Malwarebytes Anti-Malware. Tym razem nie wykryto żadnych zagrożeń Jeszcze raz bardzo, bardzo, bardzo dziękuję za pomoc i uratowanie komputera Teraz wezmę się za wszystkie aktualizacje. Jeszcze raz dzięki! Pozdrawiam, Emmi Odnośnik do komentarza
Rekomendowane odpowiedzi