Wirus UKASH

[martynab4]

Cześć,

Wirus zaatakował mój komputer, przeczytałam masę porad jak można go usunąć, jednak większość z tych metod wymaga skorzystania z trybu awaryjnego. Niestety w moim przypadku nie da rady, próba uruchomienia którejkolwiej z trzech dostępnych opcji trybu kończy się restartem kompa. Wykorzytstałam minutę jakiej potrzebuje wirus żeby zablokować komputer i kliknęłam ocję wyloguj, pozwala mi to na pracę po ponownym zalogowaniu (ekran jest pusty, ale klikając w miejsce gdzie jest opcja "START" wyświetlają się normalnie wszystkie opcje). Załączam pliki z OTL, będę wdzięczna za pomoc.

Extras.Txt

OTL.Txt

[picasso]

Sytuacja znacznie bardziej skomplikowana, w systemie działa rootkit ZeroAccess i wygląda na to, że zainfekowanym sterownikiem systemowym jest mrxsmb.sys.

 

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie przyznane przez narzędzie i zresetuj system. Na dysku C powstanie log z usuwania.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-4183795084-1584198331-3571024661-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112185&tt=060612_5_&babsrc=SP_ss&mntrId=097c6acf0000000000000018debcd5a2
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [Hq4RmJqLt] C:\Documents and Settings\Martyna Bębas\Ustawienia lokalne\Dane aplikacji\build.exe ()
O4 - HKU\S-1-5-21-4183795084-1584198331-3571024661-1006..\Run: [Azboxegoan] C:\Documents and Settings\Martyna Bębas\Dane aplikacji\Ytti\coide.exe ()
O4 - HKU\S-1-5-21-4183795084-1584198331-3571024661-1006..\Run: [Hq4RmJqLt] C:\Documents and Settings\Martyna Bębas\Ustawienia lokalne\Dane aplikacji\build.exe ()
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013-04-07 04:49:44 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd
[2013-04-06 02:19:45 | 000,192,905 | ---- | M] () -- C:\Documents and Settings\Martyna Bębas\Ustawienia lokalne\Dane aplikacji\4e78f2a3-26f0-42fd-ab98-6cbe621bc56e
[2013-04-06 02:19:30 | 000,115,480 | ---- | M] () -- C:\Documents and Settings\Martyna Bębas\Ustawienia lokalne\Dane aplikacji\build.exe
[2012-03-08 16:25:34 | 000,302,592 | ---- | C] () -- C:\Program Files\lo19gsx4.exe
[2012-10-30 20:39:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\098453C7E6F06ACF000009844A4B72A5
[2012-12-19 19:34:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Martyna Bębas\Dane aplikacji\Wouvew
[2013-02-27 03:56:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Martyna Bębas\Dane aplikacji\Wucie
[2012-12-19 19:34:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Martyna Bębas\Dane aplikacji\Ytti
[2012-06-19 20:10:43 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Windows zostanie odblokowany.

 

3. Napraw uszkodzony Winsock. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Przywróć domyślny plik HOSTS posługując się narzędziem Fix-it: KB972034.

 

5. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BabylonObjectInstaller, Winamp Toolbar for Firefox. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras), GMER oraz Farbar Service Scanner. Dołącz logi utworzone przez TDSSKiller oraz AdwCleaner.

 

 

 

.

Edytowane 19 Maja 2013 przez picasso
19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso