Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Rafik97

Wirus Ukash - jak usunąć?

dodany przez Rafik97, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

filutka78    11

filutka78
Napisano

---->>@theti

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Documents and Settings\User\Menu Start\Programy\Autostart\runctf.lnk

 

:OTL

MOD - [2012-11-08 23:03:52 | 000,566,728 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\DNTInstaller\13.2.0\avgdttbx.dll

MOD - [2012-11-08 23:03:51 | 000,997,320 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe

MOD - [2012-11-08 23:03:50 | 000,711,112 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe

SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)

SRV - [2012-11-08 23:03:50 | 000,711,112 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=110823&tt=120912_cpc_3912_5&babsrc=HP_ss&mntrId=a8e02088000000000000485b393c4723

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=110823&tt=120912_cpc_3912_5&babsrc=HP_ss&mntrId=a8e02088000000000000485b393c4723

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110824&tt=021012_noccp_4012_4&babsrc=HP_ss&mntrId=a8e02088000000000000485b393c4723

IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)

IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

IE - HKCU\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_cpc_3912_5&babsrc=SP_ss&mntrId=a8e02088000000000000485b393c4723

IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={357BB99D-123B-4761-8145-9D00E3B2E0EF}&mid=45ccae45362d47d0b958cd02905fb355-f210e4ed2e46e0d5126caa17292d00966e8dd428&lang=pl&ds=xn011&pr=sa&d=2012-10-02 15:34:16&v=12.2.5.34&sap=dsp&q={searchTerms}

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

[2012-09-27 16:03:25 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\grq4xjc6.default\searchplugins\sweetim.xml

[2012-11-08 23:04:10 | 000,003,574 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml

[2012-10-03 09:33:49 | 000,002,362 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.

O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [ROC_ROC_NT] C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe ()

O4 - HKLM..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()

O33 - MountPoints2\{84e77c6a-3caa-11e2-9b7c-1c4bd6bb5aa6}\Shell\AutoRun\command - "" = E:\lpl.exe -- [2012-08-09 11:43:28 | 000,180,224 | RHS- | M] ()

O33 - MountPoints2\{84e77c6a-3caa-11e2-9b7c-1c4bd6bb5aa6}\Shell\open\Command - "" = E:\lpl.exe -- [2012-08-09 11:43:28 | 000,180,224 | RHS- | M] ()

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

 

>UKASH-uniwersalne-usuwanie

.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

----------->>@theti

 

Nie pomogło

Ja wcale nie twierdziłam, że pomoże.

Dla mnie liczy się tylko to, że nie masz już infekcji.

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie ComboFix. Jeśli razem z ComboFixem nie zniknie jego Kwarantanna C:\Qoobox, to usuń ją ręcznie.

 

Potem napisz, czy usunięcie obu tych Kwarantann pomogło?

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

-------------->>@theti

 

W takim razie znów ściągnij OTL, i zrób dwa logi:

1) na ustawieniu "wszyscy użytkownicy"

2) na ustawieniu na zarażonym Użytkowniku.

 

F.

 

*************************************************************************************************

 

-------------->>@damian205

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O3 - HKU\S-1-5-21-1202660629-484763869-682003330-1003\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Value error. File not found

O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\nowy\Dane aplikacji\mqpp.exe) - File not found

O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - Reg Error: Value error. File not found

O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Reg Error: Value error. File not found

[2010-03-28 17:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml

[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\lqt2zk3c.default\searchplugins\startsear.xml

[2011-04-23 19:08:49 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\lqt2zk3c.default\searchplugins\web-search.xml

FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Web Search"

 

:Files

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

C:\Documents and Settings\nowy\Menu Start\Programy\Autostart\runctf.lnk

C:\Documents and Settings\nowy\wgsdgsdgdsgsd.exe

C:\Documents and Settings\nowy\Dane aplikacji\svchost64.exe

C:\Documents and Settings\nowy\Dane aplikacji\adrx32.exe

C:\Documents and Settings\nowy\Dane aplikacji\wingpu64.exe

C:\Documents and Settings\nowy\Dane aplikacji\libpdcurses.dll

C:\WINDOWS\System32\b21672ec-5b1b-40a6-91a9-92cddcd30ac3.dll

C:\WINDOWS\deca5f07-5a00-4716-8465-3efaca97303b.ocx

 

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

 

>UKASH-uniwersalne-usuwanie

.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ukashh    0

ukashh
Napisano

Witam,

Jakiś czas temu już miałem problem z ukashem i znowu się pojawił:

 

Załączam skan z otl.

 

Mam również pytanie jaki antywirus byłby najlepszy żeby się przed tym syfem zabezpieczyć.OTL.Txt

Updatowałem już jave.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

---------->>@ukashh

 

jaki antywirus byłby najlepszy żeby się przed tym syfem zabezpieczyć

Z moich obserwacji wynika, że żaden Antywirus nie ochrania przed tą infekcją; nawet te najlepsze płatne (Kaspersky, NOD), też nie radzą sobie - świadczą o tym tematy na różnych forach.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKLM..\Run: [] File not found

O20:64bit: - HKLM Winlogon: Shell - (c:\users\mikolaj\appdata\roaming\jqbkm_geybb) - File not found

 

:Files

C:\ProgramData\0tbpw.pad

C:\Users\Mikolaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

 

F.

 

>UKASH-uniwersalne-usuwanie

.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

----------->>@kalama23

 

[2012/10/03 18:32:11 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ahpooz

[2012/10/03 18:32:11 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Axuz

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Baluek

[2012/10/08 16:44:57 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Daluw

[2012/09/12 20:43:50 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Eqzi

[2011/12/10 02:34:33 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Hiegif

[2012/10/22 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ikow

[2011/07/21 20:37:44 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Kestrel

[2012/10/08 16:44:57 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Opox

[2012/10/08 18:37:21 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Oqnera

[2012/05/06 18:04:09 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\OwnRooms

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Riomt

[2012/09/30 12:56:03 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ryipwe

[2012/10/05 09:19:36 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Tific

[2011/08/06 12:48:17 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\TP

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Tyqu

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Uzgoov

[2012/09/16 16:16:52 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Vyevzu

[2011/12/10 09:33:48 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Wude

[2012/10/08 18:37:21 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Xiuzo

[2012/09/30 12:56:03 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Yqfoc

znasz te powyższe?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

----------->>@kalama23

 

Masz, oprócz "UKASH'a", znacznie gorszą infekcję: ZeroAcces/Sirefef!

Ta infekcja przerasta moje umiejętności, niestety.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

C:\ProgramData\0tbpw.pad

 

:OTL

F3:64bit: - HKCU WinNT: Load - (C:\Users\Dawid\LOCALS~1\Temp\msoukftz.com) - File not found

F3 - HKCU WinNT: Load - (C:\Users\Dawid\LOCALS~1\Temp\msoukftz.com) - File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O4 - HKCU..\Run: [] File not found

O4 - HKLM..\Run: [ROC_ROC_NT] C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe ()

O4 - HKLM..\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe ()

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll ()

IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={96EE38C8-7BD0-4E26-AEE9-4A6DA4B7EED8}&mid=756d09b1325c47d0a584395874b1aaa3-d32ab02667b91d0d97df240ad3a2025f06402ebe&lang=pl&ds=xn011&pr=sa&d=2012-09-11 21:24:54&v=12.2.5.34&sap=dsp&q={searchTerms}

IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

IE - HKCU\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found

IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}

IE - HKCU\..\SearchScopes\{209D19C3-8983-4493-974A-15B663167659}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=70F68B7F-2C7D-4DA8-AD73-4A89C00F20E7&apn_sauid=8566846E-E419-461B-A16A-AB28544C6F26

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://isearch.avg.com/?cid={96EE38C8-7BD0-4E26-AEE9-4A6DA4B7EED8}&mid=756d09b1325c47d0a584395874b1aaa3-d32ab02667b91d0d97df240ad3a2025f06402ebe&lang=pl&ds=xn011&pr=sa&d=2012-09-11 21:24:54&v=12.2.5.34&sap=hp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/ins/ins_1336320241_485109

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/ins/ins_1336320241_485109

DRV:64bit: - [2012/11/08 17:35:01 | 000,030,568 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)

SRV - [2012/11/08 17:35:01 | 000,711,112 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)

MOD - [2012/11/08 17:35:01 | 000,997,320 | ---- | M] () -- C:\Program Files (x86)\AVG Secure Search\vprot.exe

MOD - [2012/11/08 17:35:01 | 000,566,728 | ---- | M] () -- C:\Program Files (x86)\Common Files\AVG Secure Search\DNTInstaller\13.2.0\avgdttbx.dll

MOD - [2012/11/08 17:35:01 | 000,134,600 | ---- | M] () -- C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\SiteSafety.dll

[2012/10/03 18:32:11 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ahpooz

[2012/10/03 18:32:11 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Axuz

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Baluek

[2012/10/08 16:44:57 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Daluw

[2012/09/12 20:43:50 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Eqzi

[2012/10/22 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ikow

[2012/10/08 16:44:57 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Opox

[2012/10/08 18:37:21 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Oqnera

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Riomt

[2012/09/30 12:56:03 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Ryipwe

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Tyqu

[2012/10/22 22:54:08 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Uzgoov

[2012/09/16 16:16:52 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Vyevzu

[2011/12/10 09:33:48 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Wude

[2012/10/08 18:37:21 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Xiuzo

[2012/09/30 12:56:03 | 000,000,000 | ---D | M] -- C:\Users\Dawid\AppData\Roaming\Yqfoc

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

2) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Daj z tego raport.

 

3) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

4) Do >SystemLook-64 wklej:

:filefind

services.exe

 

:dir

C:\$Recycle.Bin /s

Naciśnij Look i pokaż raport.

 

5) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

6) Zrób nowy log z OTL.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

kalama23    0

kalama23
Napisano

filutka 78- takim razie możesz polecić gdzie się zwrócić z tą infekcją ZeroAcces/Sirefef! ?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

wtakim razie możesz polecić gdzie się zwrócić z tą infekcją ZeroAcces/Sirefef! ?

Na razie wykonuj to, co zaleciłam. Jeśli dojdę do wniosku, że moja "kuracja" nie odnosi skutku, to sama dam link do innego forum.

Oczywiście już teraz możesz się tam zarejestrować >http://www.fixitpc.pl/

 

EDIT:

widzę, że tam już wcześniej masz swój temat ...

Tam się długo czeka na odpowiedź, ale warto czekać

 

F.

 

*****************************************************************************************

 

----------->>@ukashh

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20:64bit: - HKLM Winlogon: Shell - (c:\users\mikolaj\appdata\roaming\jqbkm_geybb) - File not found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

C:\Users\Dawid\AppData\Roaming\Kestrel\GX\Temp folder moved successfully.

C:\Users\Dawid\AppData\Roaming\Kestrel\GX folder moved successfully.

C:\Users\Dawid\AppData\Roaming\Kestrel folder moved successfully.

 

Wyciągnij to z Kwarantanny C:\_OTL, albo potem przeinstaluj.

To Twój program do obróbki graficznej (pytałam, czy znasz?)

 

 

C:\Users\Dawid\AppData\Roaming\OwnRooms\{3BB4CEB0-374C-42DD-B1A8-3FAAFD3B48F9} folder moved successfully.

C:\Users\Dawid\AppData\Roaming\OwnRooms folder moved successfully.

tego nie jestem pewna, ale to też wygląda na Twój program?

 

EDIT:

Ale, z drugiej strony, na liście Twoich programów (Extras.txt) nie widzę takich programów.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

---------->>@ukashh

 

Czemu to się nie daje usunąć? Nie wiem.

Do >SystemLook-64 wklej:

 

:filefind

jqbkm_geybb

 

:regfind

jqbkm_geybb

Naciśnij Look i pokaż raport.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ukashh    0

ukashh
Napisano

SystemLook 30.07.11 by jpshortstuff

Log created at 13:59 on 11/12/2012 by Mikolaj

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "jqbkm_geybb"

No files found.

 

========== regfind ==========

 

Searching for "jqbkm_geybb"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe, c:\users\mikolaj\appdata\roaming\jqbkm_geybb,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\jqbkm_geybb_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\jqbkm_geybb_RASMANCS]

 

-= EOF =-

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

--------->>@ukashh

 

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\jqbkm_geybb_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\jqbkm_geybb_RASMANCS]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

2)

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>

>rozwiń ten klucz,klikając na (+):

>(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

>w okienku po prawej zaznacz: "Shell"=>>prawoklik>>Modyfikuj >z okienka, które wyskoczy usuń c:\users\mikolaj\appdata\roaming\jqbkm_geybb (tak, by został tam tylko explorer.exe)

>zwiń ten klucz, klikając na (-).

Zrestartuj komputer.

Zrób nowy log z OTL, albo z SystemLook.

 

F.

 

 

 

----------->>@kalama23

 

jeszcze nowy log z OTL.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Proszę ostatni log z OTL, http://www.wklejto.pl/141629 teraz zapuściłem: Malwarebytes - AntiMalware

Hm, z raportu RogueKiller wcale nie wynika, by usuwał cokolwiek z ZeroAccess'a, ale w nowym logu już tej infekcji nie widzę. Zresztą to nie jedyny raport RogueKiller'a:

RKreport[1]_S_12112012_02d1322.txt ; RKreport[2]_D_12112012_02d1323.txt ; RKreport[3]_D_12112012_02d1323.txt ; RKreport[4]_S_12112012_02d1323.txt

więc w którymś z tych raportów jest pokazane, co usuwał (RogueKiller to najlepsze narzędzie do usuwania tej wersji infekcji ZeroAcces'a).

 

Pozostaje jeszcze naprawić to, co ZeroAcces uszkodził w Systemie:

1) START > w polu szukania wpisz: cmd > z prawokliku "Uruchom jako Administrator" > wpisz netsh winsock reset

naciśnij ENTER

 

2) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

Zrestartuj komputer.

 

3) Zrób nowy log z OTL, oraz z FSS.

 

[MBR] 2381cae14e8e0721cf53cc2dad979048

[bSP] 0d58ab2bda11a671592c25484d61302e : MBR Code unknown

Czy to przypadkiem nie jest laptop?

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...