Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus "UKASH" cyberprzestępczość

jachu876

Przez jachu876
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

jachu876

jachu876

Opublikowano
Opublikowano

Witam. Mam kolejny problem i to dość poważny. Na jednym kompie mam wirusa UKASH cyberprzestępczość. Nie można nic zrobić. Po włączeniu komputera nawet przy odłączonej sieci od razu podczas załączania pulpitu wyskakuje biały ekran i po chwili ładuje się ten wirus. Podłączyłem dysk pod drugi sprawny komputer i zrobiłem skan z OTL.

 

Pozdrawiam

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na jednym kompie mam wirusa UKASH cyberprzestępczość. Nie można nic zrobić. Po włączeniu komputera nawet przy odłączonej sieci od razu podczas załączania pulpitu wyskakuje biały ekran i po chwili ładuje się ten wirus.

Na zainfekowanym Windows wejdź w Tryb awaryjny z Wierszem polecenia i zrób nowe logi z OTL. Te materiały są do niczego:

 

 

 

Podłączyłem dysk pod drugi sprawny komputer i zrobiłem skan z OTL.

To nic nie daje w kontekście skanu OTL. OTL skanuje tylko rejestr i składniki aktualnie działającego Windows, czyli w tym wypadku sprawnego, nie są widziane żadne elementy Windows niezaładowanego. Nic kompletnie nie widać.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tylko jak mam wejść w tryb awaryjny z wierszem polecenia jak tą usługę mam wyłączoną przez tego wirusa?

Nie rozumiem tej wypowiedzi. Co rozumiesz pod pojęciem "usługa"? I dlaczego nie możesz otworzyć F8 > Tryb awaryjny z Wierszem polecenia (co się pokazuje)?

 

Jeśli rzeczywiście nie możesz uruchomić Trybu awaryjnego z Wierszem polecenia (nie mówimy tu o normalnym Trybie awaryjnym, tylko jego podtypie), to zrób log z poziomu środowiska zewnętrznego: OTLPE (jeśli to XP) lub FRST (jeśli Vista i wyżej).

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Files
E:\Documents and Settings\Kasia\Dane aplikacji\skype.dat
E:\Documents and Settings\Kasia\Dane aplikacji\skype.ini
 
:Reg
[HKEY_USERS\Kasia_ON_E\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. System zostanie odblokowany. Loguj się normalnie do Windows.

 

2. Przez Dodaj/Usuń programy odinstaluj zbędne aplikacje: Akamai NetSession Interface, Logitech Desktop Messenger, McAfee Security Scan.

 

3. Zrób nowe logi za pomocą standardowego OTL z opcji Skanuj (ma powstać też plik Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Infekcja pomyślnie usunięta. Tylko drobne poprawki:

 

1. Nie odinstalowałeś Logitech Desktop Messenger i to do wdrożenia. To jest zbędna aplikacja do "newsów" producenta i nie ma wpływu na pracę sprzętu. Ze sprzętem jest zwizany Logitech SetPoint a nie Logitech Desktop Messenger.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=-
"E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"=-
 
:OTL
O4 - HKCU..\Run: [Akamai NetSession Interface] "E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
O4 - HKCU..\Run: [GG] "E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\GG\Application\gghub.exe" File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - (e:\program files\common files\logishrd\bluetooth\LBTWlgn.dll) - File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Akcja przeprowadzona pomyślnie. Zakończ sprawy:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Usuń wszystkie stare Adobe / Java (jedna z przyczyn tej infekcji) i archaizm ACE Mega CoDecS Pack, zaktualizuj Firefox oraz cały Windows: KLIK. Log pokazuje krytyczny poziom aktualizacji XP oraz następujące wersje programów:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{32A3A4F4-B792-11D6-A78A-00B0D0170170}" = Java SE Development Kit 7 Update 17

"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish

"{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl)

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...