sisi Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Witam, Pomóżcie proszę laptopa blokuje mi ukash jak się dowiedziałam na forum. Załączam logi, tylko tryb awaryjny działa. Pozdrawiam, Sylwia checkup.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 11 Listopada 2012 Zgłoś Udostępnij Opublikowano 11 Listopada 2012 Zabrakło drugiego loga z OTL - extras. Nie miałaś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&barid={2947E7FE-0510-4221-BC80-609139CC4165}" IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1328975769_546112 IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2724386" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box&a=1jSpsskxBoJ" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={2947E7FE-0510-4221-BC80-609139CC4165}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Kookos] C:\Users\Sylwia\Desktop\Kookos\kookos.exe silent File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Sylwia\AppData\Local\Temp*.html C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Media Bar / Contribute Toolbar / Searchqu Toolbar / SweetIM Toolbar for Internet Explorer Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras) Odnośnik do komentarza
sisi Opublikowano 24 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2012 sorki że tak długo się nie odzywałam ,ale mnie nie było. odpalam dziś kompa na trybie awaryjnym i widze ukash. Także juz nie mam praktycznie dostępu - jak to teraz ugryźć ? Pozdrawiam, Sylwia poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło. Wszystkie 4 punkty zrobione. No i świeże logi w załłączniku. Sprawdźcie proszę czy wszystko już ok, czy jeszcze gdzieś toto siedzi. Wielkie dzięki ! OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Listopada 2012 Zgłoś Udostępnij Opublikowano 26 Listopada 2012 Wyjaśnienie dlaczego tak się działo - przy okazji weszła w system inna wersja infekcji "Ukash", która dopisuje się do shella i dlatego w awaryjnym też był problem. I są jej ślady na dysku. Czyli pomiędzy zrobionymi logami, a wykonywaniem skryptu zaleconego przeze mnie odwiedziłaś jakiś link, który miał infekcję. Trzeba to usunąć. poszło - ciekawostka przy uruchomieniu Windowsa przytrzymanie ESC pomogło. Wątpię by to był powód, raczej zbieg okoliczności. Ostatnie logi pokazują, że w shellu nie ma wpisu infekcji, który powodował blokade więc coś go musiało usunąć. Możliwe, że Avast i to dzięki temu dostałaś się do systemu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Sylwia\AppData\Roaming\Yxezi C:\Users\Sylwia\AppData\Roaming\Yvewo C:\Users\Sylwia\AppData\Roaming\Omhie C:\Users\Sylwia\AppData\Roaming\804C48 C:\Users\Sylwia\AppData\Roaming\Ahnyik C:\Users\Sylwia\AppData\Roaming\Ihha C:\Users\Sylwia\AppData\Roaming\msconfig.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Odnośnik do komentarza
sisi Opublikowano 26 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2012 Być może mój facet się zalogował. Procedura zrobiona, w załączniku świeże logi. Co dalej ? OTL.Txt 11262012_181508.txt Odnośnik do komentarza
Landuss Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 To wszystko. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
sisi Opublikowano 27 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Zrobione. Wielkie dzięki za pomoc. Gratuluję wiedzy i profesjonalnego podejścia! Pozdrawiam, sisi Odnośnik do komentarza
Rekomendowane odpowiedzi