Wirus Ukash - jak usunąć?

[kalama23 0]

Hm, z raportu RogueKiller wcale nie wynika, by usuwał cokolwiek z ZeroAccess'a, ale w nowym logu już tej infekcji nie widzę.

Pozostaje jeszcze naprawić to, co ZeroAcces uszkodził w Systemie:

1) START > w polu szukania wpisz: cmd > z prawokliku "Uruchom jako Administrator" > wpisz netsh winsock reset

naciśnij ENTER

 

2) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

Zrestartuj komputer.

 

3) Zrób nowy log z OTL, oraz z FSS.

 

 

Czy to przypadkiem nie jest laptop?

 

F.

 

 

Tak to laptop

[filutka78 11]

Tak to laptop

To wyjaśnia sprawę - laptopy mają fabrycznie zmienione MBR.

 

F.

[ukashh 0]

ok zrobiłem zmiany w rejestrze i nowy skan w otl:

 

http://wklej.org/id/894122/

[filutka78 11]

----------->>@ukashh

 

Teraz jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[kalama23 0]

Końcowe logi z OTL i FSS:

OTL.Txt

FSS.txt

[filutka78 11]

--------->>@kalama23

 

OK, wszystko naprawione.

Kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

FSS - jeśli nie zniknie razem z OTL - to usuniesz ręcznie.

SystemLook - jeśli nie zniknie razem z OTL - to usuniesz ręcznie.

RogueKiller - jeśli nie zniknie razem z OTL - to usuniesz ręcznie.

W Adw-Cleaner kliknij na przycisk Odinstaluj

 

EDIT:

Na "fixitpc" możesz uaktualnić temat, by @Picasso nie męczyła się dawaniem tego, co już tu zostało usunięte - daj tam ostatni log z OTL oraz ostatni log z FSS.

 

 

F.

[kalama23 0]

Bardzo dziękuję za pomoc.

[Ketram 0]

Wyjaśni mi ktoś jak odczytujecie te logi żę wiecie o co chodzi i jak usunąć ?

[filutka78 11]

Wyjaśni mi ktoś jak odczytujecie te logi żę wiecie o co chodzi i jak usunąć ?

Tego się chyba nie da wyjaśnić.

OTL - co i jak >http://www.mediafire.com/view/?et46z2uu21ay5f1

 

F.

[JohnnyNitro 0]

Dołączam do grona poszkodowanych przez U cash. Poniżej raporty z OTL:

 

OTL.txt

Extras.txt

 

Pozdrawiam

[filutka78 11]

--------->>@JohnnyNitro

 

Dałeś tylko górną część logu OTL.txt - daj pozostałą część.

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Documents and Settings\Cosmo\wgsdgsdgdsgsd.dll

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

C:\Documents and Settings\Cosmo\Menu Start\Programy\Autostart\runctf.lnk

 

:OTL

[2012-12-19 20:36:02 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found

IE - HKCU\..\SearchScopes\{2A10FDEC-BEC5-4AC4-BE2B-4940F9DEA83B}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=38BDB3C6-CCE5-4D75-AC74-F4D496CD3B18&apn_sauid=A6C52DD8-5525-4C20-B66C-98BB65C48174

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=38BDB3C6-CCE5-4D75-AC74-F4D496CD3B18&apn_ptnrs=9M&apn_sauid=A6C52DD8-5525-4C20-B66C-98BB65C48174&apn_dtid=OSJ000&&q="

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [hpqSRMon] File not found

O4 - Startup: C:\Documents and Settings\Cosmo\Menu Start\Programy\Autostart\The Matrix_ Path of Neo Registration.lnk = File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Value error.)

O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

F.

[JohnnyNitro 0]

Rzeczywiście, nie zwróciłem uwagi. Naprawiam swój błąd i wklejam pozostałą część raportu.

 

OTL c.d.txt

 

Poczekam na pełną diagnozę. Jeżeli reszta raportu będzie ok zastosuję skrypty.

 

Pozdrawiam

[filutka78 11]

------------->>@JohnnyNitro

 

Dostosowałam mój poprzedni Skrypt do tej dołączonej teraz części logu, więc możesz wykonać ten Skrypt.

 

F.

[JohnnyNitro 0]

Oto raport z AdwCleaner:

AdwCleaner[s1].txt

[filutka78 11]

-------->>@JohnnyNitro

 

Brak raportu z usuwania Skryptem oraz nowego logu z OTL.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[JohnnyNitro 0]

Raporty OTL:

12202012_181641.txt

 

OTL.txt

 

Extras.txt

[filutka78 11]

------->>@JohnnyNitro

 

Jest OK, kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Jednocześnie zniknie ComboFix.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[JohnnyNitro 0]

Dziękuję bardzo za pomoc. Wszystko jest ok!

[smiesznygosc 0]

witam serdecznie, moj komputer zostal zainfekowany polska policja department wirusem chcialbym otrzymac pomoc jak to usunac w zwiazku z czym zamieszczam logi z otl

extras

http://wklejto.pl/142916

otl

http://wklejto.pl/142917

[filutka78 11]

---------->>@smiesznygosc

 

Widać też ślady CONFICKER'a.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\ltdnjd.dll -- (szrnq)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)

[2011-06-06 20:14:27 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\o603n2i5.default\extensions\DTToolbar@toolbarnet.com

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

NetSvcs: szrnq - C:\WINDOWS\system32\ltdnjd.dll File not found

 

:Files

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

%USERPROFILE%\Start Menu\Programs\Startup\ctfmon.lnk

%USERPROFILE%\Start Menu\Programs\Startup\runctf.lnk

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"2388:TCP"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[Eminem2345 0]

@Filutka usunąłem tego wirusa"policja polska departament" twoim sposobem uniwersalnym. Czy mogłabyś sprawdzić moje logi? Z góry dziękuję za odpowiedź!

Dodałem do Winrara ,ponieważ obydwa ważyły ponad 100kb. I zastanawiam się nad reinstalacją systemu - czy to dobry pomysł?

OTL.rar

Extras.rar

[smiesznygosc 0]

Dzieki wielkie za szybką odpowiedz

 

oto raport

http://wklejto.pl/142920

 

aha i jeszcze taka kwestie porusze, bo robie te skanowanie otl'em według pewnego tutoriala i przed skanowaniem w własne opcje skanowania wrzucam coś takiego

netsvcs
msconfig
safebootminimal
safebootnetwork
%systemdrive%\*.*
/md5start
agp440.sys
atapi.sys
beep.sys
cdrom.sys
ndis.sys
winlogon.exe
eventlog.dll
/md5stop

 

podejrzewam że prawdopodobnie to zauważyłaś (bo pewnie jakoś się da, nie znam sie na tym), ale pomyslalem ze na wszelki wypadek o tym wspomne, i jesli bedzie trzeba to zrobie skan bez uprzedniego wklejania w/w opcji

 

a póki co wrzucam nowy log otl.txt

http://www.wklejto.pl/142922

[filutka78 11]

------->>@smiesznygosc

 

Nowy log nie jest cały.

 

 

aha i jeszcze taka kwestie porusze, bo robie te skanowanie otl'em według pewnego tutoriala i przed skanowaniem w własne opcje skanowania wrzucam coś takiego

Dla mnie to nie przeszkadza, a w tym konkretnym przypadku nawet się to przydało:

szrnq removed from NetSvcs value successfully!

bo dzięki tym ustawieniom od razu zostało to usunięte z Rejestru.

 

F.

 

************************************************************************************************************

 

--------->>@Eminem2345

 

Infekcja dalej jest.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Reg Error: Value error.)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 10.10.2)

O4 - HKCU..\Run: [ASRockXTU] File not found

O4 - HKCU..\Run: [zASRockInstantBoot] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found

O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found

[2012-09-01 10:23:26 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml

IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1346491406_155317

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1346491406_155317

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1346491406_155317

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1346491406_155317

 

:Files

C:\Users\Kamil\wgsdgsdgdsgsd.dll

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Odinstaluj niepotrzebnego zamulacza: AVG Secure Search

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[smiesznygosc 0]

Rzeczywiście, nie zauważyłem nawet

 

poprawny log otl.txt

 

http://wklej.org/id/902892/

 

EDIT

 

ok zrobione. jeszcze raz wielkie dzięki za pomoc, pozdrówki

[filutka78 11]

-------->>@smiesznygosc

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

.