System zablokowany przez infekcję UKASH

[Gamber]

Witam!

prosił bym o sprawdzenie tych że plików pod kątem trojanów które napewno są ponieważ ma wirusa ukash .

z góry dziękuję

Extras.Txt

OTL.Txt

[picasso]

Zasady działu na temat tytułowania tematów: KLIK. Tytuł zostanie zmieniony na korespondujący do problemu.

 

 

ponieważ ma wirusa ukash

 

Tu nie ma ani śladu UKASH, jest tylko adware do czyszczenia, ale na razie tym się nie zajmuję. Opisz dokładnie problem (co / gdzie się pokazuje) oraz sprecyzuj czy to są logi z właściwego konta:

 

Computer Name: W-PC | User Name: wojtek- murzyn | Logged in as Administrator.

 

Logi ze złego konta sugeruje także świeże utworzenie katalogu C:\Users\wojtek- murzyn, podczas gdy na dysku jest jeszcze katalog C:\Users\w.

 

Jeśli infekcja działa po stronie konkretnego konta, logi z innego są bezużyteczne, bo konta mają inne foldery i rejestry. Logi muszą być zrobione z poziomu konta na którym jest problem.

 

 

 

 

.

[Gamber]

Problem jest ze mam tego wirusa i sadzilem ze jak zrobie skan programem na innym koncie to pokaze mi na wszystkich bo taka opcje widziałem. Wiec spróbuję sposobu tego: https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/page__p__32551#entry32546 i dołączę od nowa te dwa pliki.

[picasso]

OTLPE nie jest tu potrzebne (ma też zintegrowany zbyt stary OTL). Wybierz Tryb awaryjny z Wierszem polecenia, zaloguj się na właściwe konto, w linii komend uruchom OTL i podaj raporty wynikowe.

 

 

 

.

[Gamber]

Przepraszam nie napisałem najistotniejszej informacji , nie dziłaja mi tryby awaryjne oprócz trybu ostatniego bodajże z wierszem polecen.

[picasso]

Przecież mówię: wybierz Tryb awaryjny z Wierszem polecenia. Podany przeze mnie celowo, bo jak podejrzewam działa w systemie infekcja ładowana przez Shell graficzny.

[Gamber]

Może ja podam co próbowaliśmy na innym forum :

http://forum.programosy.pl/wirus-weelsof-ukash-vt135150.html

Bo jeżeli mówisz o tym sposobie to on juz nie działa.

[picasso]

A ja twierdzę, że działa, tylko nie umiecie tego zrobić. Uruchamiałeś OTL z innego konta ze ścieżki H:\OTL.exe (pendrive = może nie być wykryty w Trybie awaryjnym), to przenieś go do ścieżki C:\OTL.exe. Start do Trybu awaryjnego z Wierszem polecenia, logowanie na właściwe konto, w linii komend C:\OTL.exe i ENTER, robisz skan...

 

 

 

.

[Gamber]

ja napewno nie umiem tego robić więc przychodzę o poradę tutaj to za niedlugo bedzie odpowiedni skan.

 

Oto i te pliki mam nadzieje że już dobre

OTL.Txt

Extras.Txt

[picasso]

ja napewno nie umiem tego robić więc przychodzę o poradę tutaj

 

Chodziło mi o to, że przy "nierozpoznaniu komendy" zostałeś wprowadzony w błąd treścią "Widocznie Microsoft doszedł do wniosku, że Microsoft nie chce, by uruchamiać OTL, i przy okazji ostatniej aktualizacji zabroniła używania tej komendy swemu Systemowi." Najoględniej mówiąc są to rzeczy niewiarygodne i nie mające nic wspólnego z faktycznym stanem. Nie wzięto poprawki na detekcję urządzeń w Trybie awaryjnym.

 

 

---

1. Na sprawnym koncie w Notatniku zapisz sobie tę treść:

 

:Files
C:\Users\w\AppData\Roaming\skype.dat
C:\Users\w\AppData\Roaming\skype.ini
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKU\S-1-5-21-1130035368-3723359009-3882195816-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117023&tt=0313_8&babsrc=SP_ss&mntrId=7497a9d1000000000000bc5ff44c1eb1"
IE - HKU\S-1-5-21-1130035368-3723359009-3882195816-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8R8DMmPG&i=26"
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261070~1.41\{c16c1~1\browse~1.dll) -  File not found
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP5c\WNt500x64\Sandra.sys -- (SANDRA)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Start do Trybu awaryjnego z Wierszem polecenia. W linii komend wpisz polecenie notepad i ENTER, co otworzy Notatnik. W Notatniku otwórz plik przygotowany w punkcie 1. Następnie w linii komend C:\OTL.exe i ENTER. W OTL w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika i klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, gdyż system zostanie odblokowany, loguj się na właściwe kono a nie nowe.

 

3. Przez Panel sterowania odinstaluj adware IB Updater 2.0.0.557, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Video Converter Bundle by SweetPacks.

 

4. Google Chrome: W zarządzaniu wysukiwarkami ustaw Google jako domyślną, po tym usuń Search the web (Babylon) z listy. W Rozszerzeniach odinstaluj SweetIM for Facebook.

 

5. Firefox: Wyczyść z adware via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Gamber]

Jaka na razie działa mi moje konto więc jest już spoko dosyłam wszystkie pliki jakie mi te programy pokazały :

AdwCleanerS1.txt

OTL.Txt

Extras.Txt

[picasso]

Zadania nie wyglądają na wykonane w 100% jak zalecone w punktach od 3 do 6. Wygląda na to, że pominąłeś deinstalacje adware i reset Firefox, od razu zabierając się za AdwCleaner, który nie jest zastępstwem dla procesów deinstalacji tylko poprawiaczam. Skąd moje wnioski:

- AdwCleaner usuwał wpisy w kluczu Unistall, których nie powinno być po prawidłowej deinstalacji.

- AdwCleaner nic by nie znalazł w preferencjach Firefox po prawidłowym wykonaniu resetu. Tu nie ma też żadnych oznak wykonania resetu Firefox.

 

Poprawki:

 

1. Firefox: nadal aktualne menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Google Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Search the web (Babylon).

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SweetPacks
C:\Program Files (x86)\SweetPacks
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso