Skocz do zawartości

Ukash na innym kompie


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Sytuacja jest tu bardziej skomplikowana, w systemie działa też trojan ZeroAccess, który poczynił masę szkód w systemie. Poza tym, jest adware i szczątki innych źle doczyszczonych wcześniej infekcji. Czyszczenie będzie wieloetapowe.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Everyone:F /T

icacls C:\$Recycle.Bin\S-1-5-21-312141410-1961232833-2059072768-1001\$13f5cb1615bf66d8fde718d175aa1373 /grant Everyone:F /T

rd /s /q C:\$Recycle.Bin

netsh winsock reset

pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Users\Benamar Krim\AppData\Roaming\skype.dat

C:\Users\Benamar Krim\AppData\Roaming\hellomoto

C:\Users\Benamar Krim\AppData\Roaming\Izegup

C:\Users\Benamar Krim\AppData\Roaming\OpenCandy

C:\Program Files (x86)\mozilla firefox

 

:OTL

IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=e3502f51-ea21-11e1-a878-d0df9af000ea&q={searchTerms}"

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187"

IE - HKCU\..\SearchScopes\{0BE95377-498B-4FE0-8AFC-7C428406D76D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=33F89167-8D8D-4CED-A32E-5D0402698CEF&apn_sauid=371C3C5C-677C-4B2E-A13A-9A928B29E909"

IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=7c15bb1e000000000000dadf9aefe062"

IE - HKCU\..\SearchScopes\{8564A1C0-7F17-42B8-84FF-AB609F34739A}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=7c15bb1e000000000000d0df9af000ea"

O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found

O4 - HKLM..\Run: [] File not found

O4 - HKCU..\Run: [{07781EA4-B081-AD40-F0AC-6365E2F74078}] C:\Users\Benamar Krim\AppData\Roaming\Izegup\akirji.exe ()

O20 - AppInit_DLLs: (c:\progra~3\browse~1\25976~1.107\{c16c1~1\mngr.dll) - c:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()

O20 - AppInit_DLLs: (c:\progra~3\browse~1\25911~1.18\{c16c1~1\mngr.dll) - File not found

SRV - [2012/12/05 18:10:34 | 002,403,352 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -- (Browser Manager)

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"bProtector Start Page"=-

"Start Page"="about:blank"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"bProtectorDefaultScope"=-

[-HKEY_CURRENT_USER\Software\Mozilla]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]

"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Ask Toolbar, Babylon toolbar on IE, Browser Manager, Claro Chrome Toolbar, Claro LTD toolbar on IE, LiveVDO plugin 1.3, Mario Forever Toolbar, McAfee Security Scan Plus. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację Claro Toolbar, LiveVDO plugin, Settings Protector.

 

7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i do skanu wklej:

 

:dir

C:\$Recycle.Bin /s

 

:filefind

services.exe

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz też log utworzony przez AdwCleaner.

 

 

 

.

Edytowane przez picasso
26.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...