Ukash - proszę o pomoc

[Xeni]

Witam,

 

Jestem tu nowy i prosiłbym o pomoc. Mój komputer zainfekował ukash. Nie działają żadne tryby awaryjne, rescue disk też nic nie pomógł. Udało mi się przed wskoczeniem ekranu wirusa uruchomić procesy i pozamykać nieznane aplikacje. pomogło. Proszę o pomoc co dalej zrobić.

System Windows XP Home 32 bit. Załączam logi OTL.

Z góry dziękuję za wsparcie.

extras.txt

otl.txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\DOM\4972175.dll
C:\Documents and Settings\DOM\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\DOM\Dane aplikacji\msconfig.ini
C:\Documents and Settings\All Users\Dane aplikacji\1.bmp
C:\Documents and Settings\All Users\Dane aplikacji\1.jpg
C:\Documents and Settings\All Users\Dane aplikacji\5712794.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\fbljumqpgrnkcoc
C:\Documents and Settings\All Users\Dane aplikacji\uzpcvilvtjvfqfk
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2009-10-17 12:51:55 | 000,000,000 | ---D | M]
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.

 

3. Przez Panel sterowania odinstaluj adware McAfee Security Scan Plus (szmuglowany w instalacjach Adobe Flash + Reader). Przy okazji możesz też odinstalować inne zbędne rzeczy, tzn. paski BingBar czy Google.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy a obowiązkowy tu GMER.

 

 

 

.

[Xeni]

Wielkie dzięki, pomogło!

 

Dorzucam nowy log

 

Czy Eset NOD 32 jest w stanie ochronić przed kolejnymi atakami tego wirusa?

OTL.Txt

[picasso]

1. Punkt numer 2 w ogóle nie wykonany. Nadal widzę zmodyfikowany plik HOSTS. Przeprowadź te zadania.

2. Poza tym, tu po obecności pliku 4972175.dll infekcji (już usunięty skryptem OTL) nasuwa się, że był tu wariant modyfikujący usługę WMI systemu. Nie widzę wprawdzie w logu OTL takiej modyfikacji, ale na wszelki wypadek potwierdź, że usługa WMI w ogóle istnieje. Dodaj raport z Farbar Service Scanner.

 

 

Czy Eset NOD 32 jest w stanie ochronić przed kolejnymi atakami tego wirusa?

 

Dyskusja: KLIK. Na antywirusy tu nie licz raczej. Podstawowa sprawa: dziurawa Java (to m.in. przez jej luki wpada "policja"), u Ciebie owszem jest, ale to zawsze adresuję na końcu. Dodatkowo, zabezpieczenie inną metodą realizowaną przykładowo w SandBoxie (po 30 dniach dalej można korzystać za free, tylko dręczy nag screen o zakupach), GeSWall Freeware.


.

Edytowane 17 Maja 2013 przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso