Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus Ukash

gabus

Przez gabus
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Sytuacja jest tu o wiele bardziej skomplikowana, blokada to rzecz mniej istotna. System jest w fatalnym stanie. Tu jest cała masa infekcji! W systemie działa też rootkit ZeroAccess (aż dwa warianty!), są ślady rootkita w MBR... Przy okazji będę usuwać szczątki Firefox (wygląda na odinstalowany).

 

1. Uruchom Kaspersky TDSSKiller. Jeśli program wykryje rootkita w MBR, przyznaj akcję Cure i zresetuj system. Nie podejmuj innych działań niż zalecone. Na C powstanie log z usuwania.

 

2. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.exe /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom ten przez dwuklik plik. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

3. Otwórz Notatnik i wklej w nim:

 

cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F


cacls C:\RECYCLER\S-1-5-18\$81f67c899c9f7aafb28ca87b3820d510 /E /G Wszyscy:F


rd /s /q C:\RECYCLER


netsh firewall reset


netsh winsock reset


pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom ten przez dwuklik plik. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d584385e-4217-11e1-a3d5-00197016a365&q={searchTerms}"


IE - HKLM\..\SearchScopes\{C01ECF7E-2F8E-40A8-91B3-F813B6C06319}: "URL" = "http://search.phpnuke.org/?lang=en&q={searchTerms}"


IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112089&tt=060612_7_&babsrc=SP_ss&mntrId=9c65952b00000000000000197016a365"


IE - HKCU\..\SearchScopes\{A7430EC3-3FBE-42AC-8CDE-09C5E83C2775}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=8634EA20-487B-4027-B37E-E18042F3F422&apn_sauid=76F9E7B7-FAE5-4ECA-B407-72241E223386&"


IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2795644"


IE - HKCU\..\SearchScopes\{C01ECF7E-2F8E-40A8-91B3-F813B6C06319}: "URL" = "http://search.phpnuke.org/?lang=en&q={searchTerms}"


O4 - HKLM..\Run: [bar] C:\Documents and Settings\patrick\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CPJ0ALO2\access[1].exe File not found


O4 - HKLM..\Run: [rdincp] C:\Documents and Settings\patrick\Dane aplikacji\rdincp.dll (Crytek)


O4 - HKLM..\Run: [serialui] C:\Documents and Settings\patrick\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1185\serialui.exe (Microsoft Corporation)


O4 - HKLM..\Run: [XSECVA] C:\Documents and Settings\patrick\Dane aplikacji\xsecva\xsecva.exe ()


O4 - HKCU..\Run: [ActiveCollector] C:\Program Files\NetNucleous\ActiveCollector\ActiveCollector.exe File not found


O4 - HKCU..\Run: [LonelyWalker] "C:\Program Files\NetNucleous\ActiveCollector\ACRecover.exe" File not found


O4 - HKCU..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found


O4 - HKCU..\Run: [XSECVA] C:\Documents and Settings\patrick\Dane aplikacji\xsecva\xsecva.exe ()


O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 38187 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msxoiio.com ()


O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)


O20 - AppInit_DLLs: (C:\WINDOWS\system32\ChromeLog.dll) - C:\WINDOWS\system32\ChromeLog.dll ()


O20 - HKLM Winlogon: UserInit - ("C:\Documents and Settings\patrick\Dane aplikacji\xsecva\xsecva.exe" -s) - C:\Documents and Settings\patrick\Dane aplikacji\xsecva\xsecva.exe ()


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5)


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)


DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)


DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)


DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\PCASp50.sys -- (PCASp50)


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oif006.sys -- (oif006.sys)


 


:Files


C:\Documents and Settings\patrick\Ustawienia lokalne\Dane aplikacji\{81f67c89-9c9f-7aaf-b28c-a87b3820d510}


C:\WINDOWS\assembly\GAC\Desktop.ini


C:\Documents and Settings\patrick\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1185


C:\Documents and Settings\patrick\Dane aplikacji\xsecva


C:\Documents and Settings\patrick\Dane aplikacji\hellomoto


C:\Documents and Settings\patrick\Dane aplikacji\Mozilla


C:\Program Files\Mozilla Firefox


 


:Reg


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]


"Start Page"="about:blank"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]


"Start Page"="about:blank"


[-HKEY_CURRENT_USER\Software\Mozilla]


[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]


[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]


[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]


 


:Commands


[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada UKASH zniknie.

 

5. Odinstaluj adware:

- Przez Panel sterowania odinstaluj BrowserCompanion, Internet Spooling Service, vShare.tv plugin 1.3.

- Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń search.babylon.com, ustaw na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. W Rozszerzeniach odinstaluj Browser Companion Helper, vshare plugin. Wyczyść Historię.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. Zrób nowe logi: OTL z opcji Skanuj, zaległy GMER oraz Farbar Service Scanner. Uruchom SystemLook, w oknie wklej co poniżej i klik w Look.

 

:dir


C:\RECYCLER /s

 

Dołącz też logi utworzone przez TDSSKiller oraz AdwCleaner.

 

 

 

.

Edytowane przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...