Ukash ;/

[Jetson]

Witam.

Kolejny raz to dziadostwo zaatakowało mój komputer. Załączam logi i proszę o pomoc. Chciałem też dodać, że miałem pewien problem, mianowicie nie mogłem zalogować się na zainfekowane konto w trybie awaryjnym z obsługą sieci. Po wejściu na konto system sam się resetował, więc musiałem wejść na nie w trybie z wierszem polecenia..

 

 

I jeszcze takie pytanie. Czy skrypt będę mógł wykonać na niezainfekowanym koncie?

 

OTL.Txt

Extras.Txt

[picasso]

Chciałem też dodać, że miałem pewien problem, mianowicie nie mogłem zalogować się na zainfekowane konto w trybie awaryjnym z obsługą sieci. Po wejściu na konto system sam się resetował, więc musiałem wejść na nie w trybie z wierszem polecenia..

 

Działa infekcja startująca przez Shell bieżącego użytkownika, dlatego odpadają wszystkie graficzne tryby awaryjne.

 

Czy skrypt będę mógł wykonać na niezainfekowanym koncie?

 

Nie. Wymagane zalogowanie na zainfekowanym koncie Marcin.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcin\AppData\Roaming\skype.dat
C:\Users\Marcin\AppData\Roaming\skype.ini
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
IE - HKU\S-1-5-21-1956915135-1299874801-832136499-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, system zostanie odblokowany.

 

2. Przez Panel sterowania usuń LiveVDO. Tak, ta wtyczka video to adware.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Chodzi o najnowszą wersję, kiedyś używałeś już AdwCleaner, ale w systemie są nadal szczątki adware, które najnowsza wersja powinna skasować.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Jetson]

System odblokowany, wielkie dzięki.

OTL.Txt

AdwCleaner log.txt

[picasso]

Wszystko zrobione, kończymy:

 

1. Mini poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. W Dzienniku zdarzeń jest błąd WMI numer 10. Zastosuj narzędzie Fix-it: KLIK.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Usuń starsze wtyczki Adobe + Java (m.in. jedna z przyczyn infekcji) i zastąp najnowszymi: KLIK. Wersje widziane w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{AC76BA86-7AD7-1045-7B44-AB0000000001}" = Adobe Reader XI - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

 

Na liście zainstalowanych jest też Gadu-Gadu 10. Ten stary koszmar do zastąpienia albo najnowszym GG11, albo alternatywami (WTW, Kadu, Miranda, AQQ): KLIK.

 

 

 

.