Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Tradycyjnie- ukash

konrado333

Przez konrado333
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

konrado333

konrado333

Opublikowano
Opublikowano

Witam!

Dopadł mnie wirus ukash.

Czytałem poprzednie tematy, oraz przeszukałem połowę internetu w poszukiwaniu pomocy,

ale do każdego przypadku podchodzi się indywidualnie (chyba), więc założyłem ten temat.

 

Kłopot w tym, że nie mogę wejść w tryb awaryjny, nawet z wierszem polecenia, ani odpalić windowsa

(po kilku sekundach mam okno z Ukash'em). Dlatego nie byłem w stanie uzyć OTLl'a aby pokazać logi.

Mam jednak płytę z ubuntu, i mogę uruchomić ten system z Live CD, więc może dało by radę

rozwiązać problem troszkę inaczej. Mam dostęp przez Ubuntu do dysków, więc może uda się

coś zrobić dzięki temu? Usunąć jakiś wpis, czy może zmodyfikować, lub coś w tym stylu. Jeżeli nie, to jest jakaś inna możliwość

uruchomienia OTL'a w celu przekazania logów?

 

Bardzo proszę o pomoc.

Pozdrawiam!

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Faraday

 

Zasady działu: KLIK. Intencje chwalebne, ale tu są określone wytyczne w prowadzeniu pomocy. Poza tym, poradnik zostanie sklejony z tematem właściwym, który zacząłeś. Tak poza tym w swoim własnym temacie nie podałeś raportów do weryfikacji, skan to nie wszystko.

 

 

konrado333

 

Nie podałeś platformy operacyjnej. Poza tym:

 

jest jakaś inna możliwość uruchomienia OTL'a w celu przekazania logów?

 

KLIK

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [taskschd] C:\Documents and Settings\TATA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\261\taskschd.exe ()
O4 - HKLM..\Run: [Wwanpref] C:\Documents and Settings\TATA_2.KS-9CD9EF\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4506\Wwanpref.exe File not found
 
:Files
C:\Documents and Settings\TATA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\261
C:\Documents and Settings\TATA_2.KS-9CD9EF\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4506
C:\Documents and Settings\All Users\Dane aplikacji\F4D562BF0003F6C9002156D38DB91C90
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE + SweetPacks Toolbar for Internet Explorer 4.6. Popraw przez AdwCleaner z opcji Delete.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2.

 

 

 

.

Odnośnik do komentarza
konrado333

konrado333

Opublikowano
  • Autor
Opublikowano

OK, system działa poprawnie.

 

Zgubiłem logi z usuwania OTL (lama ze mnie).

Coś znalazłem na dysku C, w folderze _OTL, nie wiem czy o to chodzi, ale załączam plik do postu.

Poza tym, właśnie w tym folderze jest drugi, MovedFiles. Otworzyłem go, i inne wewnątrz, aż wyskoczył mi komunikat od avast'a

o znalezieniu konia trojańskiego. Nie wiem czy tak ma być, czy coś źle zrobiłem.

Nie mam uprawnień do wysyłania plików z rozszerzenem .log, więc wysyłam w formacie .txt

 

Dzięki jednak za szybką pomoc, windows działa normalnie.

Pozdrawiam! o/

07092012_125951.txt

AdwCleanerS2.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Poza tym, właśnie w tym folderze jest drugi, MovedFiles. Otworzyłem go, i inne wewnątrz, aż wyskoczył mi komunikat od avast'a

o znalezieniu konia trojańskiego. Nie wiem czy tak ma być, czy coś źle zrobiłem.

 

To kwarantanna OTL. Otwierając ten folder "dałeś kopa" osłonie rezydentnej Avast, która przy próbie dostępu do pliku wykryła go. To nie ma jednak żadnego znaczenia, gdyż jak mówię to kwarantanna OTL, plik przesunięty i nieczynny. Avast się obudził za późno, gdy już nie miał nic do roboty. Kwarantannę zawsze na końcu usuwam (tu w punkcie 3 realizacja), OTL ma wbudowaną procedurę to dedykującą.

 

 

Zadanie wykonane. Wymagana drobna poprawka na wyszukiwarki.

 

1. Internet Explorer w wersji 6 (i tak będzie to zmieniane potem) nie dysponuje kluczami SearchScopes. Poprzedni log pokazywał tylko wystąpienie w HKLM i to korygowałam, nagle teraz widać i w HKCU. Toteż Start > Uruchom > regedit i z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

 

2. Aktualnie bieżącą wyszukiwarką w Google Chrome jest cytowany śmieć Babylon:

 

========== Chrome  ==========
 
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = "http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&affID=111247&tt=220212_cp1"

 

Wejdź do menedżera wyszukiwarek i przestaw domyślną na cokolwiek innego, następnie Babylon zmieć z listy.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Dla pewności przeprowadź jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
konrado333

konrado333

Opublikowano
  • Autor
Opublikowano

Wszystko zrobione, rejestr zmodyfikowany itd, ale jednak coś wykryło, w Live Security Platinum.

Nie wiem kto to ściągnął, ale już wcześniej mi się to podejrzane wydawało.

Do tego nie działa mi żaden antywirus. Miałem Avasta, nie dało sie włączyć osłon, więc go odinstalowałem

i ściągnąłem Pande, ale też nie działa.

mbam-log-2012-07-10 (12-23-11).txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Wszystko zrobione, rejestr zmodyfikowany itd, ale jednak coś wykryło, w Live Security Platinum.

Nie wiem kto to ściągnął, ale już wcześniej mi się to podejrzane wydawało.

 

Wątpliwe, by ktoś to "ściągał". To jest typowy rogue instalowany "z automatu" podczas odwiedzenia nieodpowiedniej / zainfekowanej witryny. Ten wynik pochodzi z całkiem innego folderu konta C:\Documents and Settings\TATA_2.KS-9CD9EF niż analizowany dotychczas w logach C:\Documents and Settings\TATA. Co się tu więc dzieje? Czy to jakiś folder odpadek czy wręcz przeciwnie? Czy przypadkiem tu nie ma dwóch różnych kont? Jeśli jest więcej niż jedno, logi OTL muszą być robione po kolei z każdego. Rejestry kont kompletnie się różnią.

 

 

Do tego nie działa mi żaden antywirus. Miałem Avasta, nie dało sie włączyć osłon, więc go odinstalowałem

i ściągnąłem Pande, ale też nie działa.

 

Proszę więc o nowe logi, włącznie z GMER.

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...