Blokada Ukash!

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
camaczo

Użytkownik
Posty: 1
Rejestracja: 26 paź 2012, 13:20

Blokada Ukash!

Post26 paź 2012, 13:24

Witam! Bardzo proszę o pomoc w zwalczeniu tego wirusa. Oto moje logi z OTL- Dostępne tylko dla zarejestrowanych użytkowników

Bardzo dziękuje i prosze o pomoc w dalszych krokach.
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Blokada Ukash!

Post26 paź 2012, 18:08

Combofix.


Pobierz Go na pulpit (nie uruchamiaj!) -> Dostępne tylko dla zarejestrowanych użytkowników, a następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\Ilona i Mateusz\Combofix.exe" /uninstall .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ILONAI~1\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{3819A5B3-B580-11E1-A699-001D09D03EB1}
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKLM\..\SearchScopes,DefaultScope = {A14D08C0-0438-4BF4-98FE-A61685E10733}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{A14D08C0-0438-4BF4-98FE-A61685E10733}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2304157
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{3819A5B3-B580-11E1-A699-001D09D03EB1}&q={searchTerms}&barid={3819A5B3-B580-11E1-A699-001D09D03EB1}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50winampie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{3819A5B3-B580-11E1-A699-001D09D03EB1}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 2
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&srch=dsp
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=110817&tt=050412_30b&babsrc=SP_ss&mntrId=ae1d40d9000000000000001644b855bd
IE - HKCU\..\SearchScopes\{342168F8-AE4A-41E8-A6B5-8FB9FECBEF37}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GTKR_en
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{EB00F07C-0CFC-4669-ADF9-05AAB219F1A8}&mid=14a6acceb1f747d0bc1bd1544f34d742-5587b498e172d8b71aba8888970ba72cfac128f1&lang=en&ds=st011&pr=sa&d=2012-04-06 15:31:18&v=12.2.5.32&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{A14D08C0-0438-4BF4-98FE-A61685E10733}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GTKR_en
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2304157
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{3819A5B3-B580-11E1-A699-001D09D03EB1}&q={searchTerms}&barid={3819A5B3-B580-11E1-A699-001D09D03EB1}
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50winampie7
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.startup.homepage: "https://isearch.avg.com?cid=%7Bc935fc01-c3d6-4581-b00f-8d669456df57%7D&mid=14a6acceb1f747d0bc1bd1544f34d742-5587b498e172d8b71aba8888970ba72cfac128f1&ds=st011&v=12.2.5.32&lang=en&pr=sa&d=2012-04-06%2015%3A31%3A18&sap=hp"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0
FF - prefs.js..extensions.enabledItems: avg@toolbar:12.2.5.32
FF - prefs.js..keyword.URL: "https://isearch.avg.com/search?cid=%7Bc935fc01-c3d6-4581-b00f-8d669456df57%7D&mid=14a6acceb1f747d0bc1bd1544f34d742-5587b498e172d8b71aba8888970ba72cfac128f1&ds=st011&v=12.2.5.32&lang=en&pr=sa&d=2012-04-06%2015%3A31%3A18&sap=ku&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?affID=110817&tt=050412_30b&babsrc=KW_ss&mntrId=ae1d40d9000000000000001644b855bd&q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
[2010-02-24 20:51:53 | 000,000,000 | ---D | M] (XfireXO Toolbar) -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2011-04-17 15:45:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012-04-06 15:52:52 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012-06-13 19:50:21 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2012-02-03 21:07:19 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\extensions\ffxtlbr@babylon.com
[2012-04-14 17:41:45 | 000,000,792 | ---- | M] () -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\searchplugins\startsear.xml
[2012-07-07 08:51:45 | 000,004,117 | ---- | M] () -- C:\Users\Ilona i Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\1d827bqg.default\searchplugins\sweetim.xml
[2011-06-22 20:18:29 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012-04-14 17:42:01 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{ac49eb5c-071d-4d2a-e5ce-0b9961f879d0}
[2012-09-05 20:09:25 | 000,000,000 | ---D | M] (AVG Security Toolbar) -- C:\PROGRAMDATA\AVG SECURE SEARCH\12.2.5.32
[2012-09-05 20:09:33 | 000,003,771 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-04-06 15:51:45 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [WinSyncProviders] C:\Users\Ilona i Mateusz\AppData\Local\Microsoft\Windows\1323\WinSyncProviders.exe ()
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Ściągnij przez IDM - C:\Program Files\Internet Download Manager\IEExt.htm ()
O8 - Extra context menu item: Ściągnij wideo FLV przez IDM z 10 ostatnio żądanych - C:\Program Files\Internet Download Manager\IEGetVL2.htm ()
O8 - Extra context menu item: Ściągnij wszystkie linki przez IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm ()
O8 - Extra context menu item: Ściągnij zawartość wideo FLV przez IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package)
[2012-10-26 11:12:59 | 004,010,544 | ---- | C] (Piriform Ltd) -- C:\Users\Ilona i Mateusz\ccsetup324.exe
[2012-10-26 10:57:19 | 000,000,000 | ---D | C] -- C:\Users\Ilona i Mateusz\AppData\Local\temp
[2012-10-26 10:57:18 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012-10-26 10:33:40 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012-10-26 10:33:06 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012-10-26 10:01:17 | 000,000,000 | ---D | C] -- C:\Users\Ilona i Mateusz\AppData\Roaming\hellomoto
[2012-10-26 11:43:02 | 000,296,247 | ---- | M] () -- C:\ProgramData\nvModes.001
[2012-10-26 11:42:47 | 008,405,015 | ---- | M] () -- C:\Windows\TempFile

:Files
C:\Program Files\Google\Update
C:\Windows\tasks\*.*
C:\Users\Ilona i Mateusz\AppData\Local\Temp*.html
$RECYCLE.BIN /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba!) -> http://hotfix.pl/articles.php?article_id=143.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości