Zaldier Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Witam serdecznie wszystkich, Jak widzę, jestem następnym pokrzywdzonym przez tego drażniącego trojana. Nabawiłem się sporego kłopotu, gdyż wejście w tryb awaryjny nie działa, tak samo jak w menedżer zadań Windows. Narazie pulpit na zainfekowanym komputerze jest bez "tego" okienka, gdyż karta sieciowa jest odłączona. W przypadku podłączenia jej, okienko z Ukash'em natychmiast atakuje. Z ogromną nadzieją na Waszą wyrozumiałość i pomoc podsyłam logi z OTL'a. Za jakąkolwiek okazaną pomoc będę zobowiązany. Z pozdrowieniami, Bartek / Zaldier OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=3e077000-3fb9-11e1-89df-001fc6799500&q={searchTerms} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=3e077000-3fb9-11e1-89df-001fc6799500&q={searchTerms} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = http: //www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={592D42CA-2BF6-4697-A267-08AAF054FFE0} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363 IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{F5D16557-D5FE-484E-92CD-641953FAE884}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=F133281A-2960-4593-A990-EA0E0DA3BD33&apn_sauid=AD3F1DDE-7AFF-4AF5-9829-553DF20CBC51 IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search" [2012-06-03 18:21:35 | 000,000,000 | ---D | M] (ooVoo Video Chat Community Toolbar) -- C:\Documents and Settings\Asus F7Series\Dane aplikacji\Mozilla\Firefox\Profiles\lpr8gmds.default\extensions\{e5a1e26f-0d1d-4307-868f-fbd9a374ab54} O3 - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKU\S-1-5-21-343818398-920026266-839522115-1004..\Run: [] C:\Documents and Settings\Asus F7Series\Ustawienia lokalne\Temp\nsswa.exe () O4 - HKU\S-1-5-21-343818398-920026266-839522115-1004..\Run: [brkrmyn] C:\Documents and Settings\Asus F7Series\Ustawienia lokalne\Dane aplikacji\agvjui.exe () O4 - Startup: C:\Documents and Settings\Asus F7Series\Menu Start\Programy\Autostart\ytlbh.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Zaldier Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Wykonałem według w/w zaleceń, lecz po naciśnięciu "wykonaj skrypt" zanika cały pasek dolny, ikony na pulpicie i poza tym zero reakcji. W OTL jest tylko informacja: "Killing processes. DO NOT INERRUPT...". Czy coś źle poszło? Dodam jeszcze, że czekam tak już 5 minut. Odnośnik do komentarza
Landuss Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Nie czekaj, nie ma na co. Widocznie tu jest jakiś problem z zabijaniem procesów. Zastąp w skrypcie [emptytemp] i daj tam [reboot] Odnośnik do komentarza
Zaldier Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 (edytowane) Zmiana wyrażenia na "reboot" pomogła, skrypt się wprowadził, wyskoczyło okienko z prośbą o zatwierdzenie restartu systemu po czym zaakceptowałem. Po ponownym uruchomieniu zapisał się wynik wprowadzenia skryptu, który podsyłam poniżej: WYNIK - 07052012_215356.txt W tym czasie w OTL uruchomione jest skanowanie, jak się skończy to ponownie podeślę log'a. Czy coś na podstawie tego wyniku można powiedzieć? EDIT: Skanowanie się skończyło, zgodnie z wcześniejszą obietnicą podsyłam nowe logi: OTL.Txt Edytowane 5 Lipca 2012 przez picasso Extras po raz drugi niepotrzebne. Usuwam. //picasso Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave oraz Adobe Reader do najnowszych wersji.: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Zaldier Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Jesteś naprawdę wspaniały! Mój komputer już od dłuższego czasu chodzi sprawnie, infekcja z ukash'em zniknęła na dobre, bardzo Ci za to dziękuję! Wzbudzacie u mnie respekt w stosunku do Was samych, miło, że bezinteresownie potraficie pomóc ludziom. Cieszy mnie również fakt, że w razie czego mam gdzie się bezpośrednio zwracać z nadzieją na szybkie rozwiązanie problemu. Nawiązując do tematu jeszcze, chciałbym napisać, że mojemu wujkowi przedwczoraj też taki komunikat wyskoczył, pomyślałem, że jakbyście mogli jeszcze jemu pomóc to zrobiłbym według Waszych zaleceń i prosiłbym o skrypt do wprowadzenia, za co będę niewymownie wdzięczny. Oczywiście logi w OTL'u wygenerowały się, ale w trybie awaryjnym tylko, bo z poziomu systemu uruchomionego normalnie nie było takiej możliwości. Podsyłam logi niżej: OTL.Txt Extras.Txt Liczę na was z nadzieją, że to już ostatnia akcja z tym kodem w komputerach należących do krewnych i temat będzie można zamknąć. Odnośnik do komentarza
Landuss Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3765369584-467875928-1602138536-1005\..\SearchScopes\{5B458036-6655-4267-BA8D-3AA8D3B6C43D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ111YYPL&apn_uid=E9131BF9-AC6F-46D5-AE9C-2ED3B073D067&apn_sauid=3622AB79-3929-45AC-AADD-DC82BC38C084" O4 - HKLM..\Run: [] File not found O33 - MountPoints2\{ab2a477f-e8ba-11dd-bb0f-002186cb4e83}\Shell\AutoRun\command - "" = F:\3exi.exe O33 - MountPoints2\{ab2a477f-e8ba-11dd-bb0f-002186cb4e83}\Shell\open\Command - "" = F:\3exi.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\tgmqsfileqkikrg C:\Documents and Settings\All Users\Dane aplikacji\ayihlkgqahtjfso C:\Documents and Settings\All Users\Dane aplikacji\ytsiksad.exe C:\Documents and Settings\Wlodzimierz\0.6290417069864925.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ytsiksadevrjzvl"=- [HKEY_USERS\S-1-5-21-3765369584-467875928-1602138536-1005\Software\Microsoft\Windows\CurrentVersion\Run] "ytsiksadevrjzvl"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Zaldier Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Dziękuję Ci bardzo! Skrypt wprowadził się, problem zneutralizowany, punkt 2 i 3 wykonany, zgodnie z punktem 4 podsyłam log: OTL.Txt Z pozdrowieniami, Bartek / Zaldier Odnośnik do komentarza
Landuss Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Po problemie. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Zaldier Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 No to wspaniale! Wszystko już zrobione i ładnie chodzi, wujek Włodek się ucieszy. Jeszcze raz dziękuję Wam wszystkim i życzę wszystkiego najlepszego! Odnośnik do komentarza
Rekomendowane odpowiedzi