Wirus Ukash

[pablo1984lbn]

Witam wysyłam logi z FRST musiałem uzyć tego narzędzia, gdyż z poziomu trybu awaryjnego OTL nie pójdzie bo wirus przedostał sie również do tryby awaryjnego. Mam nadzieję, że wszystko zrobiłem jak należy.

FRST.txt

[picasso]

Nie sprawdziłeś wszystkich trybów awaryjnych. W Twojej sytuacji działa Tryb awaryjny z Wierszem polecenia, infekcja ładuje się przez Shell graficzny bieżącego użytkownika, dlatego działa tylko linia komend (w niej można było uruchomić OTL).

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: []  [x]
HKU\Paweł\...\Winlogon: [shell] explorer.exe,C:\Users\Paweł\AppData\Roaming\skype.dat [89600 2011-11-17] ()
C:\Users\Paweł\AppData\Roaming\skype.dat
C:\Users\Paweł\AppData\Roaming\skype.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.

 

2. Uruchom FRST i wybierz w nim opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt.

 

3. System powinien zostać odblokowany. Logujesz się normalnie do Windows. Zrób raporty OTL. Dołącz też fixlog.txt.

 

 

 

.

[pablo1984lbn]

Wysyłam logi z OTL i FRST:

Fixlog.txt

Extras.Txt

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane, ale jeszcze adware do usunięcia:

 

1. Przez Panel sterowania odinstaluj adware Claro Chrome Toolbar oraz przestarzały Spybot - Search & Destroy.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3472615398-3886202368-884058486-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=117423&tt=5012_1&babsrc=SP_ss&mntrId=b81ed471000000000000002719b4b607"
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~1\25986~1.67\{c16c1~1\browse~1.dll) -  File not found
[2012-12-13 23:41:12 | 000,006,520 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Search bar"=-
"Secondary Start Pages"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Wszystkie dyski masz zimmunizowane falsyfikatami autorun.inf:

 

O32 - AutoRun File - [2012-11-28 20:23:06 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-11-28 20:23:06 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-11-28 20:23:06 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]

 

To ma skutki uboczne na Windows 7 i usuń tę modyfikację: KLIK.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[pablo1984lbn]

Załączam logi

OTL.Txt

AdwCleanerS2.txt

[picasso]

Dodałeś nie ten log z AdwCleaner co należy, ja chcę obejrzeć akcję właściwego usuwania, czyli plik C:\AdwCleaner[s1].txt. Uzupełnij. Podmień załączniki w poście powyżej i na PW zawiadom o edycji.