justysia456 Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Witam serdecznie Mam taki sam problem jak kolega: https://www.fixitpc.pl/topic/9122-zablokowanie-komputera-przez-trojana-weelsof-ktory-zada-kodu-ukash/. Nie umiem sobie z nim poradzić. Wpisywanie kodu tak jak u kolegi niestety nie pomogło. W związku z tym, że nie jestem "biegła" w tych tematach zwracam sie z uprzejmą prośbą o pomoc. Jeżeli nie jest to miejsce w którym mogę o tym napisać to z góry przepraszam. Załaczam niezbędne pliki. Pozdrawiam OTL.Txt GMER-txt.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 justysia456, zasady działu: KLIK. Tu nie wolno się dopisywać do cudzych tematów. Podzielone. Poza tym, log z OTL nie jest pełny, brakuje drugiego pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Zaś log z GMER został zrobiony w złym środowisku, działają sterowniki DAEMON Tools (KLIK). Twój przypadek jest kompletnie inny, trojan zapisał się w innym miejscu startowym i inne pliki utworzył, poza tym nie ma tu śladów rootkita. Przechodząc do usuwania: 1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [mjpgenianmchlvk] C:\Documents and Settings\All Users\Dane aplikacji\mjpgenia.exe () O4 - HKCU..\Run: [mjpgenianmchlvk] C:\Documents and Settings\All Users\Dane aplikacji\mjpgenia.exe () [2012-06-26 22:28:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\tmloorrfidvovwk [2012-06-26 22:28:37 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\zclzprkwqrhthky [2012-06-26 22:28:34 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\uuhjjwxk.exe [2012-06-26 22:28:34 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\juvkleuw.exe [2012-06-26 22:28:34 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\hjxudnel.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i powinien już działać prawidłowo, otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
justysia456 Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Po pierwsze dziękuję serdecznie za wyrozumiałość i okazaną pomoc.Załaczam nowe pliki. Jeszcze raz dziękuję za pomoc. Extras.Txt OTL.Txt log z usuwania 2.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Tylko jeden log z usuwania jest właściwy i tylko ten zostawiam. Wiem, że wcześniej wykonałaś instrukcje z tamtego drugiego tematu, ale to się nie mogło po prostu udać ze względu na zupełnie inne wpisy. Na przyszłość: nie wykonuj instrukcji skryptowych przeznaczonych dla innych użytkowników, to są unikatowe skrypty robione pod ten konkretny system. Tak samo: Twój skrypt nie pomoże innym. Infekcja pomyślnie usunięta. Wykonaj kolejne czynności: 1. Jest to system XP modyfikowany, niedokładnie. Pozostawiono martwą Usługę bramy warstwy aplikacji: ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\alg.exe -- (ALG) ... która próbuje się uruchamiać, co generuje błędy: Error - 2012-06-26 19:37:15 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu: %%2 Start > Uruchom > services.msc i na liście wyszukaj tę usługę. Z dwukliku wejdź do jej właściwości i Typ uruchomienia przestaw na Wyłączona. 2 W OTL uruchom Sprzątanie, które samoczynnie skasuje z dysku kwarantannę OTL i ten program. Możesz też ręcznie usunąć GMER. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Są tu zainstalowane dwa skanery, MSSE i MBAM. Ten pierwszy nie wygląda na najnowszą wersję, toteż odinstaluj go, następnie zainstaluj najnowszą wersję Microsoft Security Essentials. Po aktualizacji oprogramowania antywirusowego wykonaj pełne skanowanie w obu programach, MBAM + MSSE. Przedstaw wyniki, o ile coś zostanie znalezione. . Odnośnik do komentarza
justysia456 Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Witam Wykonałam wszystkie wskazane kroki. Nie przedstawiam wyników ponieważ nic nie zostało znaleznione. Wszystko jest tak jak było przedtem. Bardzo, ale to bardzo dziekuję za błyskawiczną i celną pomoc. Wszystkie wskazówki zdecydowanie zapamietam na przyszłość. Dziękuję także za ogrom wyrozumiałości i cierpliwości. Pozdrawiam serdecznie. Justyna Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2012 Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Na zakończenie: 1. Jakoś mi umknął na Twojej liście zainstalowanych wpis adware Deinstalator Strony V9. Usuń to. To już prawdopodobnie martwy wpis i system zada pytanie czy usunąć z listy. 2. Aktualizacje oprogramowania: KLIK. Tutaj z Twojej listy zainstalowanych wykaz bieżących wersji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 30"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.2)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6 (Office nie wygląda jakby był wyposażony w SP3, nie mogę potwierdzić precyzyjnie wersji wtyczek Adobe + Silverlight) 3. Prewencyjna wymiana haseł logowania w serwisach. . Odnośnik do komentarza
justysia456 Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Witam Niestety mój problem powrócił i system ponownie został zablokowany przez UKASH. Załączam logi i ponownie serdecznie proszę o pomoc. Pozdrawiam gorąco OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Skoro problem powrócił, znów został odwiedzony jakiś szkodliwy link. Poza tym, nie wykonałaś wcale końcowych istotnych zaleceń, czyli aktualizacji oprogramowania. Nadal widzę w logu starą Java, a wersje wtyczek Adobe niepotwierdzone. Ten trojan wykorzystuje luki w oprogramowaniu. I w systemie jest aktualnie inna jego wersja, nie ta co poprzednio. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\212\WSManHTTPConfig.exe () O4 - HKLM..\RunOnce: [innoSetupRegFile.0000000001] C:\WINDOWS\is-JH37P.exe () :Files C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\212 C:\Documents and Settings\SysOp\Dane aplikacji\hellomoto C:\WINDOWS\is-JH37P.exe C:\WINDOWS\is-JH37P.msg C:\WINDOWS\is-JH37P.lst :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Znana sekwencja: restart i pojawienie się loga z usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
justysia456 Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Tak wiem, że to niestety wszystko wina mojego zaniedbania i niezastosowania się do trafnych rad. Czy teraz mogę wykonać końcowe zalecenia sugerowane przez Panią we wskazany wyżej sposób? Załączam logi. Dziękiuję serdecznie za pomoc. OTL.Txt log z usuwania.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Zadanie wykonane, toteż niejako powtórka poprzednich końcowych zaleceń: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj zalecane aktualizacje. Upewnij się także, iż wszystkie aktualizacje Windows Update są zainstalowane. . Odnośnik do komentarza
justysia456 Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Wykonałam wszystkie wskazane polecenia. Wydaje mi się również, że zaktualizowałam wszystko co zostało wyżej napisane. Dziękuję serdecznie za ponowne wyciągnięcie pomocnej dłoni i w najbliższym czasie mam nadzieję, że uda mi się chociaż trochę skromnie - odwdzięczyć. Pozdrawiam gorąco i jeszcze raz dziękuję. Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Jeszcze jedna uwaga. Jak rozumiem główną przeglądarką jest Firefox. Skan OTL jest nieprecyzyjny i nie mogę zweryfikować na 100% jakie rozszerzenia masz zainstalowane (np. u mnie OTL w ogóle nie pokazuje ani jednego rozszerzenia zamontowanego w FF 13, mimo że mam ich cztery sztuki). Jeśli nie masz, to zainstaluj dodatek Adblock Plus, by reklamy były filtrowane na stronach (co też może obniżyć prawdopodobieństwo zarobienia jakiejś brzydkiej rzeczy z banerów). . Odnośnik do komentarza
justysia456 Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Zainstalowałam dodatek. Jeszcze raz dziękuję za pomoc. Mam nadzieję, że w przyszłości mi sie już to nie zdarzy. Pozdrawiam serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi