Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan UKASH

katastrofa

Przez katastrofa
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

katastrofa

katastrofa

Opublikowano
Opublikowano

Witam.

podczas przeglądania neta, avast poinformował o zablokowaniu złośliwej strony.

Potem wszystko zniknęło z ekranu, który zrobił się biały a po chwili straszył policją i karą finansową

 

Komputer nie chciał się odpalić w żadnym trybie bo strzałki na klawiaturze nie działały.

Uruchamiałam więc go normalnie, a że jest b.stary i b.wolny udało mi się "między ekranami" odpalić menadżera zadań, zabić EXPLORER.exe, odpalić swojego explorera.

 

Sprawdziłam autostart i nie ma żadnych nowych czy podejrzanych plików.

Avast ma w kwarantannie Win32:Malware-gen

System Windows XP Home,

service pack 2

 

Wdzięczna będę za analizę i instrukcję, jak się pozbyć tego dziadostwa.

-----------------------------------

 

W folderze Temp w Ustawieniach Lokalnych znalazłam pliki ukasha wraz z oprawą graficzną

przeskanowałam folder avastem, który kazał przenieść do kwarantanny/usunąć plik.bat, co też uczyniłam

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\User\Dane aplikacji\skype.dat
C:\Documents and Settings\User\Dane aplikacji\system.dat
C:\FOUND.*
 
:OTL
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GAGPDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwmodem.sys -- (btwmodem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany.

 

2. Bonjour Apple nie został prawidłowo odinstalowany, jest uszkodzony Winsock:

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found

 

Stosowny artykuł: KLIK. Z artykułu wykonaj reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera.

 

3. W systemie działa szczątkowy sterownik Paragon:

 

DRV - [2009-08-04 18:56:26 | 000,040,560 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)

 

Nie wolno go usunąć "z ręki", bo system nie zbootuje. Sterownik filtruje dysk twardy i należy w pierwszej kolejności zdjąć ów filtr. Przejdź w Tryb awaryjny Windows. Start > Uruchom > regedit i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}

 

W kluczu dwuklik na wartość UpperFilters i usuń wpis hotcore3, ale pod żadnym pozorem nie usuwaj wpisu systemowego PartMgr.

 

4. Przejdź w Tryb normalny Windows. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do okna wklej:

 

:regfind


hotcore3

 

Klik w Look.

 

 

 

.

Odnośnik do komentarza
katastrofa

katastrofa

Opublikowano
  • Autor
Opublikowano

Bardzo dziękuję za błyskawiczną pomoc.

Skrypt w OTL wykonałam, system uruchomił się normalnie.

Resztę sprzątania, nie związanego z ukashem wykonam jutro.

 

Wiem, że pomoc jest darmowa ale na pewno odwdzięczę się dotując forum.

Jestem pełna uznania dla Twojej wiedzy i chęci pomocy :)

 

 

Temat do zamknięcia

Odnośnik do komentarza
katastrofa

katastrofa

Opublikowano
  • Autor
Opublikowano

Sory za posta pod swoim ale po edycji data jest wczorajsza i obawiam się, że nikt tu nie zajrzy.

 

Piszę teraz z innego urządzenia.

Chcąc dokończyć wczorajsze sprzątanie odpaliłam kompa,który przywitał mnie tak:

 

The system failed to boot several times before, you must enter setup to reconfigure your system.

 

Klawiatura nie działa.

 

Czy mogę prosić o dalszą pomoc?

------------------------------

Po resecie komp się uruchomił.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten komunikat nie ma związku z powyższymi działaniami. Komunikat jest pochodną sprzętowego "Boot Failure Guard" (funkcja płyt głównych Asrock = FAQ). Ta funkcja działa w ten sposób, że przy X nieudanych bootowaniach zostają przywrócone ustawienia domyślne BIOS i przy uruchomieniu komputera pada ten komunikat o skorygowanie ustawień.

 

Co się dzieje po ponownym resecie komputera, czy po odczekaniu w ogóle Windows się ładuje? Czy da się wejść do BIOS? Jaka klawiatura tu jest: USB czy PS/2?

 

Swoją drogą, to chyba czeka Cię nowy temat w dziale Hardware. Ten komunikat może świadczyć o problemie sprzętowym.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Filtr Paragon nadal jest, tylko w innej klasie woluminów:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="VolSnap hotcore3"

 

1. Przejdź w Tryb awaryjny. Start > Uruchom > regedit i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}

 

W kluczu dwuklik na wartość UpperFilters i usuń wpis hotcore3, ale nie usuwaj wpisu systemowego VolSnap.

 

2. Restart komputera. Sprawdzasz ponownie powyższe miejsce w rejestrze, czy edycja się utrzymała. Jeśli tak, w bezpieczny sposób można usunąć sterownik. Dodatkowo załączę jeszcze szczątkowe wpisy Mozilla. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2009-08-04 18:56:26 | 000,040,560 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)
 
:Files
C:\Documents and Settings\User\Dane aplikacji\Mozilla
 
:Reg
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania, tyle wystarczy (nowy skan OTL zbędny). Log nie będzie długi, toteż wklej go wprost w poście.

 

 

 

.

Odnośnik do komentarza
katastrofa

katastrofa

Opublikowano
  • Autor
Opublikowano

========== OTL ==========

Error: Unable to stop service hotcore3!

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hotcore3 deleted successfully.

C:\WINDOWS\system32\drivers\hotcore3.sys moved successfully.

========== FILES ==========

C:\Documents and Settings\User\Dane aplikacji\Mozilla\Extensions folder moved successfully.

C:\Documents and Settings\User\Dane aplikacji\Mozilla folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\ deleted successfully.

 

OTL by OldTimer - Version 3.2.69.0 log created on 03022013_154720

 

Bardzo dziękuję za pomoc, drobny przelew właśnie poszedł na konto Aretuza :)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W ramach zakończeń tematu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń wszystkie stare Java i Adobe, zastąp najnowszymi, zaktualizuj Operę i Skype oraz sprawdź czy Foxit najnowszy:KLIK. Wg raportu masz obecnie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Foxit Reader" = Foxit Reader
"Opera 11.51.1087" = Opera 11.51
"Opera 12.01.1532" = Opera 12.01
"Opera 12.01.1532_1" = Opera 12.01

 

Uwaga spoza: widzę zainstalowany Tlen.pl. Program nierozwijany i porzucony przez firmę. Zainteresuj się nowoczesnym WTW: KLIK.

 

4. Apropos:

 

Komp to złom, który ledwo zipie ...

 

Sugeruję szybkie zrobienie kopii zapasowej cennych danych. Widzę od pierwszego raportu OTL, że nagminne uruchamia się checkdisk, który "obcina" dane i tworzy na dysku C: foldery typu FOUND.00X. Dodatkowo jeszcze narzucał się Boot Failure Guard...

 

 

Bardzo dziękuję za pomoc, drobny przelew właśnie poszedł

 

Dzięki.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...