nicram1 Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Proszę o pomoc w odblokowaniu komputera zablokowanego przez UKASH OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 UKASH to nie jedyna infekcja, w systemie ślad pobytu znacznie gorszej, czyli trojana ZeroAccess. Wbrew pozorom ta infekcja jest bardziej drastyczna i tworzy w systemie liczne uszkodzenia (skasowana z rejestru Zapora | Centrum zabezpieczeń | Windows Defender). Wymagany dodatkowy skan, który pozwoli określić punkt ładowania ZeroAccess. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport. . Odnośnik do komentarza
nicram1 Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Ok, przesyłam to o co prosiłeś... SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 (edytowane) Dla jasności prosiłam. Jestem kobietą. Tak, nadal wpisy trojana ZeroAccess, choć to wygląda niespójnie, tak jakby coś tu przy nim manipulowano i źle czyszczono. Wynik z SystemLook sugeruje, że system był nieudolnie leczony MBAM, ponieważ w rejestrze jest błąd w postaci nadwyżkowego klucza wprowadzonego przez trojana i "poprawionego" na pozornie prawidłowy. Tenże błąd właśnie MBAM stwarzał, już to zgłosiłam jakiś czas temu i nowsze wersje mają to poprawione. Skutek uboczny tego błędu to niemożność zapamiętywania położenia ikon Pulpitu. Coś takiego aktualnie powinno się dziać w systemie. Po moich operacjach wszystko wróci do normy. Przy okazji: system zaśmiecony koszmarną ilością adware. Przechodząc do czyszczenia tej stajni Augiasza: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,65,00,73,00,73,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ThreadingModel"="Both" [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7A814248-5CDC-43C6-BB51-72B4B620C58C}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{053E77CC-D12D-4A91-B753-3AC3A1A7CB79}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal i potwierdź import do rejestru 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [dhetb] C:\Users\Marcin\AppData\Local\Temp\dhetb.dll (DT Soft Ltd.) O4 - HKCU..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () :Files C:\Users\Marcin\AppData\Local\{46ebabb6-d895-f289-f7b3-1bf40266fa30} C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, ClickPotato, Conduit Engine, DAEMON Tools Toolbar, DealPly, FoxTab FLV Player, IncrediMail MediaBar 2 Toolbar, Media Star Toolbar, RelevantKnowledge, ShopperReports, Yontoo oraz wtyczki LiveVDO plugin 1.3, vShare Plugin (nośniki adware). 4. Uruchom AdwCleaner i wybierz w nim opcję Delete. Z tego działania powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :folderfind {46ebabb6-d895-f289-f7b3-1bf40266fa30} Dołącz także log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 4. . Edytowane 27 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi