kozahccc Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Witam Przyniesiono mi laptopa do zrobienia który to jest zainfekowany Ukash-em. Próbowałem zdziałać coś ComboFix-em niestety bez powodzenia Dołączam do tematu logi wygenerowane za pomocą OTL, oraz zwracam się z prośbą o pomoc przy usunięciu infekcji. Symptomy: Komputer włącza się, ładuję system na chwilę udostępnia pulpit po czym wyskakuje plansza: http://m.ocdn.eu/_m/c3c65d2ffe81695878fffcc5aa1c05c1,62,37.jpg po wyskoczeniu planszy niestety zablokowana jest jaka kolwiek interakcja. Z góry dziękuję za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar oraz Skaner on-line mks_vir (firma MKS już nie istnieje) 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Notebook\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000\..\SearchScopes\{C7597164-E991-4A47-81BA-5C2DF6240206}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5F216EA3-ED40-437E-9CF4-9431D8667428&apn_sauid=D3897FCE-9CAE-4C3C-AD36-521C1655A8A1 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2012-05-30 19:47:38 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Users\Notebook\AppData\Roaming\mozilla\Firefox\Profiles\zxrwm4no.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-04-07 14:20:33 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Notebook\AppData\Roaming\mozilla\Firefox\Profiles\zxrwm4no.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Notebook\AppData\Roaming\Mozilla\Firefox\Profiles\zxrwm4no.default\searchplugins\askcom.xml [2011-09-27 13:54:44 | 000,000,923 | ---- | M] () -- C:\Users\Notebook\AppData\Roaming\Mozilla\Firefox\Profiles\zxrwm4no.default\searchplugins\conduit.xml O4 - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000..\Run: [WSManHTTPConfig] C:\Users\Notebook\AppData\Local\Microsoft\Windows\4012\WSManHTTPConfig.exe () :Files C:\Users\Notebook\AppData\Roaming\hellomoto C:\Users\Notebook\AppData\Local\Microsoft\Windows\4012 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
kozahccc Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Dziękuję bardzo za pomoc, wcześniej w ferworze walki zrobiłem przywracanie systemu. Wykonałem prawie wszystkie kroki które mi podano, nie mogłem znaleźć skanera mks, Chyba wszystko jest ok. Dla pewności załączam logi z otl, które wygenerowane były po wykonani poleceń. Jakby można było zerknąć czy wszystko jest ok. Pozdrawiam I jeszcze raz bardzo dziękuję. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Firefoxa. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. To wszystko. Odnośnik do komentarza
kozahccc Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Wszystko ok. Jeszcze raz dziękuje bardzo za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi