Dubkilla Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Los tak chciał, że mój komputer także został zainfekowany tym wirusem. Ze względu na to, że temat jest nowy https://www.fixitpc.pl/topic/9381-zablokowanie-systemu-przez-ukash/ a nie chce zakładać nowego aby nie zaśmiecać forum prosiłbym o pomoc w usunięciu tego badziewia. Poniżej logi mojego komputera. Proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Tutaj masz nie tylko "Ukash" ale rootkita ZeroAccess. Zanim w ogóle zabierzemy się za usuwanie wykonaj raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
Dubkilla Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Tutaj przedstawiam wynik z programu SystemLock. SystemLook 30.07.11 by jpshortstuff Log created at 22:17 on 06/07/2012 by Rewind Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{0e9552b7-c306-14d6-71bf-a194667ad2df} C:\Users\Rewind\AppData\Local\{0e9552b7-c306-14d6-71bf-a194667ad2df} :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-113&cd=2XzutAtN2Y1L1QzutDtDtBtCzzyDtCzzyCtC0C0EyDyCtD0BtN0D0TzutBtDtCtBtDtAtBzy&cr=1474360007 IE - HKCU\..\SearchScopes\{F9B4371E-AB33-4D37-8875-DA6AF51BA256}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-113&cd=2XzutAtN2Y1L1QzutDtDtBtCzzyDtCzzyCtC0C0EyDyCtD0BtN0D0TzutBtDtCtBtDtAtBzy&cr=1474360007 O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [rzlpicsuaybtasu] C:\ProgramData\rzlpicsu.exe () O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [rzlpicsuaybtasu] C:\ProgramData\rzlpicsu.exe () [2012-07-05 21:42:36 | 000,000,051 | ---- | M] () -- C:\ProgramData\eslitgyqhdgjwhi :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Pokazujesz nowy log z OTL z opcji Skanuj, nowy z SystemLook tak jak poprzednio i z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Dubkilla Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Po restarcie komputera pokazuje się okno RunDLL o treści. "Wystąpił problem podczas uruchamiania pliku C:\Users\Rewind\AppData\Local\Temp\nerset.dll Nie można odnaleźć określonego modułu." Poniżej logi. FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 1. Poprawkowy skrypt do OTL: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKCU\..\SearchScopes,Backup.Old.DefaultScope = {F9B4371E-AB33-4D37-8875-DA6AF51BA256} IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O4 - HKLM..\Run: [nerset] rundll32.exe "C:\Users\Rewind\AppData\Local\Temp\nerset.dll",Wiz_Validate File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Loga z OTl już nie pokazujesz. 2. Wykonaj naprawę uszkodzonej Zapory systemowej. W twoim wypadku (MpSvc + SharedAccess): KLIK. 3. Po wykonaniu wszystkiego pokaż nowy log z FSS. Odnośnik do komentarza
Dubkilla Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wykonałem to wszystko. Błędu DLL już nie ma. Poniżej log. FSS.txt Odnośnik do komentarza
Landuss Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 To by było na tyle. Wszystko usunięte. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Dubkilla Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Okej, Zrobiłem to co napisałeś. Bardzo dziękuję za pomoc ! Uratowałeś sesje nagraniową paru zespołów ! Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi