CYBERPRZESTĘPCZOŚĆ, nowa szata graficzna

[picas2]

witam, problem z UKaSH- tym razem jakas nowa szata graficzna- 48h na wplacenie 400 zl w przeciwnym razie blokada komputera i sprawa karna. Porsze o pomoc.

 

W zalacznikach logi:

 

SYSTEM XP

Extras.Txt

OTL.Txt

[picas2]

Czy ktoś jest w stanie pomóc ???

 

jutro sesja a wszystko mam poblokowane ; ///

[picasso]

Zasady działu na temat ilości obowiązkowych raportów oraz cierpliwości: KLIK.

 

To nie jedyna infekcja w systemie, są tu ślady różnych rzeczy, w tym oznaki działania rootkita Necurs:

 

DRV - [2012-12-28 14:07:55 | 000,061,568 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\f99b5f3053fc0b87.sys -- (f99b5f3053fc0b87)
SRV - [2013-01-29 16:37:14 | 000,147,533 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Installer\{873E1426-4249-C0A7-360E-5FA915F9C52E}\syshost.exe -- (syshost32)
 
[2012-12-28 14:07:55 | 000,061,568 | ---- | C] () -- C:\WINDOWS\System32\drivers\f99b5f3053fc0b87.sys

 

I tak to jest jak się porzuca tematy, to jest niewyleczona infekcja z poprzedniego razu: GMER. Tym razem proszę doprowadzić czyszczenie do końca i nie uciekać.

 

 

---

Przeprowadź następujące działania:

 

1. Uruchom ESET Necurs Remover zgodnie z opisem.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\98498940.sys -- (19611180)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\78046130.sys -- (08666965)
SRV - [2013-01-29 16:37:14 | 000,147,533 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Installer\{873E1426-4249-C0A7-360E-5FA915F9C52E}\syshost.exe -- (syshost32)
SRV - [2013-01-01 14:44:19 | 000,116,648 | ---- | M] (Google Inc.) [On_Demand | Stopped] -- C:\Documents and Settings\Kacper\Ustawienia lokalne\temp\GUM37.tmp\GoogleUpdate.exe -- (gupdatem)
SRV - [2013-01-01 14:44:19 | 000,116,648 | ---- | M] (Google Inc.) [Auto | Stopped] -- C:\Documents and Settings\Kacper\Ustawienia lokalne\temp\GUM37.tmp\GoogleUpdate.exe -- (gupdate)
O4 - HKCU..\Run: [Daidepyt] C:\Documents and Settings\Kacper\Dane aplikacji\Utwuug\qadyw.exe (Корпорация  Майкрософт)
O4 - HKCU..\Run: [ywce.exe] C:\Documents and Settings\Kacper\Dane aplikacji\Ogazuf\ywce.exe (Siter)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: 11771 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msveuqe.com ()
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
 
:Files
C:\WINDOWS\Installer\{873E1426-4249-C0A7-360E-5FA915F9C52E}
C:\Documents and Settings\Kacper\wgsdgsdgdsgsd.exe
C:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\Kacper\Dane aplikacji\1334
C:\Documents and Settings\Kacper\Dane aplikacji\Eryzy
C:\Documents and Settings\Kacper\Dane aplikacji\Ivbyq
C:\Documents and Settings\Kacper\Dane aplikacji\Ogazuf
C:\Documents and Settings\Kacper\Dane aplikacji\Rofa
C:\Documents and Settings\Kacper\Dane aplikacji\Utwuug
C:\Documents and Settings\Kacper\*.exe
C:\Documents and Settings\Kacper\fgnjfhjmfdmkk.bmp
C:\Documents and Settings\Kacper\Dane aplikacji\{1C6A397C-7158-4CA7-BE39-F34F54928F4B}
C:\Documents and Settings\Kacper\Dane aplikacji\{0AA964C2-96F4-4365-947D-8801092F8E60}
C:\Documents and Settings\Kacper\Dane aplikacji\{BD812E27-0C4F-4009-B95E-EE55C3BB4A3B}
C:\Documents and Settings\All Users\Dane aplikacji\8810C10DEA822DFB000088103904347E
C:\Documents and Settings\All Users\Local Settings
C:\Documents and Settings\All Users\Dane aplikacji\9yIjFC7.pad
C:\Documents and Settings\All Users\Dane aplikacji\9yIjFC7.js
C:\Documents and Settings\All Users\Dane aplikacji\hbbervkrhlwpfcj
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. Windows zostanie odblokowany.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i w ustawieniach: w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a po tym usuń z listy Conduit, w Rozszerzeniach odinstaluj uTorrentControl2.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z usuwania OTL z punktu 2 oraz ten utworzony przez AdwCleaner.

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso