Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

UKASH - nieprzyjemny problem

maajky18

Przez maajky18
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

maajky18

maajky18

Opublikowano
Opublikowano

Witam. Ostatnimi czasy sporą cześć użytkowników komputerów dotknął wirus.

Ja tez zostałęm zainfekowany. Po starcie systemu, pare chwil po pojawieniu się pulpitu wyskakuje okienko w którym możemy

doczytać się, że nieby złamaliśmy prawo. Wykonałem skanowanie z trybu awaryjnego: (Windows 7 32 bits).

Próbowałęm używać kodów ale to niedziałą.

 

Nie wiem czy ma to znaczenie ale, od paru dni aby uruchomić system musiałem inicjować start pulpitu komenda explorer.exe

gdyż pulpit sam się nie wczytywał.

 

Proszę o pomoc: maajky18

 

Zrobiłem wszystko jak mówiłeś i pomogło ;]. Tutaj przesyłam te 4 skany co robiłem

AdwCleanerS2 PUnkt 3.txt

GMER.txt

OTL.Txt

Punkt 1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Te logi to totalna sieczka. Nie wiem co z nimi robiłeś, czy przeklejałeś między jakimiś edytorami tekstu, ale mają sklejone wszystko i jest to zupełnie nieczytelne. Proszę o ponowienie wytwarzania logów i podmianę załączników w poście powyżej opcją Edytuj.

 

EDIT:

 

I teraz pliki tekstowe mają prawidłowe formatowanie. Twój system jest nie tylko zainfekowany UKASH-em, jest tu skomasowanie kilku infekcji. Figuruje keylogger logonInit.dll charakterystyczny dla lewych paczek Tibia, para plików sugerująca infekcję wyłączającą Centrum zabezpieczeń oraz infekcja, która robi ten efekt (startuje drugi wpis Shell kierujący na plik trojana):

 

Nie wiem czy ma to znaczenie ale, od paru dni aby uruchomić system musiałem inicjować start pulpitu komenda explorer.exe

gdyż pulpit sam się nie wczytywał.

 

 

Przechodzimy do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [crrss] C:\Windows\System32\crrss.exe ()
O4 - HKU\S-1-5-21-412897267-3341309841-359887831-1000..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe ()
O4 - HKU\S-1-5-21-412897267-3341309841-359887831-1000..\Run: [winlogon] C:\Users\User\winlogon.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\crrss.exe) - C:\Windows\System32\crrss.exe ()
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Programy\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
 
:Files
C:\Windows\System32\KBDPL4.dll
C:\Windows\tasks\sdtdhmn.job
C:\Users\User\AppData\Local\Microsoft\Windows\4481
C:\Users\User\AppData\Roaming\hellomoto
C:\Users\User\uidsave.dat
C:\Users\User\uz.dat
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie Windows, automatycznie otworzy się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj adware: Conduit Engine, Softonic-Polska Toolbar, zbędnik Download Updater (AOL LLC) oraz budzący pewne podejrzenia Tibia MULTI-ip changer.

 

3. Zastosuj AdwCleaner z opcji Delete. Zostanie wygenerowany z tego log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz logi pozyskane automatycznie z usuwania OTL (punkt 1) i AdwCleaner (punkt 3)

 

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...