dude Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Witam, jako kolejny padłem wczoraj ofiarą ukash i w związku z tym proszę o pomoc. U mnie wyświetla się zapłać 500 zł. Poniżej załączam logi, w tym log z Combo fixa. Niestety odpaliłem program zanim trafiłem na Fixitpc.pl i się doedukowałem. Mam nadzieję, że coś się jeszcze da zrobić i combo nie rozwalił mi laptopa do reszty. OTL.Txt Extras.Txt gmer.txt checkup.txt log.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Nareszcie w natłoku UKASH-tematów treść wykazująca przeczytanie zasad i pełny zestaw logów obowiązkowych. Poniżej załączam logi, w tym log z Combo fixa. Niestety odpaliłem program zanim trafiłem na Fixitpc.pl i się doedukowałem. Mam nadzieję, że coś się jeszcze da zrobić i combo nie rozwalił mi laptopa do reszty. Nic złego się nie stało. Program wykonał kasację trzech plików, które owszem były trojanami, innymi niż tytułowy. Prócz infekcji głównej jest tu i adware wprowadzone przez wtyczkę vShare. Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\piotr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1830\WiaExtensionHost64.exe () O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\piotr\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv) FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=2849eee8-f507-11e0-8af5-00235488877f&q=" :Files C:\Documents and Settings\piotr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1830 C:\Documents and Settings\piotr\Dane aplikacji\hellomoto C:\Documents and Settings\piotr\Dane aplikacji\Mozilla\Firefox\Profiles\5ftzl4dx.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} C:\Documents and Settings\piotr\Dane aplikacji\Mozilla\Firefox\Profiles\5ftzl4dx.default\searchplugins\startsear.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj vShare.tv plugin 1.3. Ponów usuwanie w menedżerze dodatków Google Chrome. 3. Uruchom AdwCleaner i zastosuj opcję Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
dude Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Dziękuje za błyskawiczną odpowiedź, niecałe 10 min , Komputer jest odblokowany, zamieszczam logi, v-share odinstalowany, plus dodatkowy log z Aviry która odkryła dwa Trojany w międzyczasie. Rozumiem, że korzystanie z v-share plugin powinienem sobie wybić z głowy ? Nie mogę dodać loga z usuwania poprzez OTL, plik ma końcówkę log i gdy chcę go załączyć wyskakuje "nie masz uprawnień do wysyłania tego typu plików". OTL.Txt quarantaene.txt AdwCleanerR1.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Nie mogę dodać loga z usuwania poprzez OTL, plik ma końcówkę log i gdy chcę go załączyć wyskakuje "nie masz uprawnień do wysyłania tego typu plików". Tak. Jest wyjaśnione w zasadach i Pomocy, że załączniki akceptują tylko *.TXT. Na przyszłość: ręczna zmiana nazwy pliku. Ale już podarujmy sobie teraz ten log. Widzę pożądane zmiany w systemie, skrypt definitywnie się wykonał. Rozumiem, że korzystanie z v-share plugin powinienem sobie wybić z głowy ? Szczerze to radzę. Wtyczka stosuje ciosy poniżej pasa i z premedytacją instaluje gnój w systemie, a z wersji na wersji coraz gorzej (poszukaj tu na forum hasła "Browsers Protector"). To stawia pod dużym znakiem zapytania rzeczywiste intencje producenta i jego wiarygodność. Teoretycznie gdybyś miał ponawiać przygodę z tym: w instalatorze broń Boże opcja "Recommended", tylko wszystko poodznaczać. Ale głowy nie dam, czy przypadkiem w nowych wersjach coś się nie przemyca mimo odznaczenia .... Prawie wszystko zrobione. 1. W Google Chrome nadal brud vShare: ========== Chrome ========== CHR - default_search_provider: Web Search (Enabled)CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&src=sp&cf=2849eee8-f507-11e0-8af5-00235488877f&q={searchTerms}"CHR - default_search_provider: suggest_url = CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dllCHR - Extension: vshare plugin = C:\Documents and Settings\piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\ - Domyślną wyszukiwarką jest śmieć Web Search. W opcjach w menedżerze wyszukiwarek przestaw domyślną na cokolwiek innego np. Google, następnie Web Search usuń z listy. - W menedżerze rozszerzeń wytnij vShare. Ale już usunięcie wtyczek wymaga ręcznej operacji na pliku Preferences wg wytycznych w punkcie 3: KLIK. Z uwzględnieniem różnicy ścieżek na XP: C:\Documents and Settings\piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default 2. Przeprowadź prawidłową deinstalację ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\piotr\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. Dodatkowo, przez SHIFT+DEL skasuj katalog C:\WINDOWS\erdnt (kopia rejestru zrobiona przez ComboFix). 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
dude Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Dziękuję za pomoc, wszystko zrobiłem wg instrukcji, Malwarebytes wykazał jeszcze jeden plik, usuwać ? Malwarebytes Anti-Malware (Okres testowy) 1.61.0.1400 www.malwarebytes.org Wersja bazy: v2012.07.09.12 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 piotr :: GABINET-2A6633D [administrator] Ochrona: Włączona 2012-07-09 21:35:42 mbam-log-2012-07-09 (22-45-51).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 296760 Upłynęło: 49 minut(y), 9 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 1 C:\Program Files\Mozilla Firefox\sname (Spyware.Agent) -> Nie wykonano akcji. (zakończone) Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Usuń. I kończymy. Czyli podstawy aktualizacyjne do wykonania: KLIK. Tutaj cytat częściowy z Twojej listy zainstalowanych: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin . Odnośnik do komentarza
Rekomendowane odpowiedzi