Ukash - prosze bardzo o pomoc

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Diodek

Użytkownik
Posty: 1
Rejestracja: 13 sie 2012, 20:19

Ukash - prosze bardzo o pomoc

Post13 sie 2012, 20:23

Witam
Znajoma zlapala tego trojana wiec poprosila o pomoc, to co juz doczytalem to nalezy zrobic loga z OTL'a i ktos bedzie wtedy w stanie napisac skrypcik do "odrobaczenia" windowsa. Bardzo prosze o pomoc.
ponizej linki do logow

Dostępne tylko dla zarejestrowanych użytkowników - OTL
Dostępne tylko dla zarejestrowanych użytkowników - EXTRAS

jescze raz dziekuje i prosze o dalsze sugestie co robic
Konrad
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Ukash - prosze bardzo o pomoc

Post13 sie 2012, 22:36

"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.02
"Lenovo EE Boot Optimizer" = Lenovo EE Boot Optimizer
"{7683B745-6060-41FD-AA75-0BBB383FEAD4}" = SweetIM for Messenger 3.7
"{774C0434-9948-4DEE-A14E-69CDD316E36C}" = Internet Explorer Toolbar 4.6 by SweetPacks
"1ClickDownloader" = 1ClickDownloader
"Freecorder Toolbar" = Freecorder Toolbar
"InstallShield_{F07C2CF8-4C53-4EC3-8162-A6221E36EB88}" = UserGuide
"McAfee Security Scan" = McAfee Security Scan Plus
"searchya" = SearchYa! Web Search
"SkanerOnline" = Skaner on-line mks_vir
"toolplugin" = toolplugin
"V9Software" = Deinstalator Strony V9
"VeriFace" = VeriFace


Odinstaluj to oprogramowanie za pomocą Revo Uninstaller`a w trybie zaawansowanym (po zaznaczeniu w Nim opcji -> Pokazuj Elementy systemowe) -> Dostępne tylko dla zarejestrowanych użytkowników.

Combofix.


Wejdź w START -> URUCHOM -> i wklej tam -> "C:\ComboFix.exe" /uninstall .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DyBtC0EyByEyDtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1529630250
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files (x86)\Freecorder\prxtbFree.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes,DefaultScope = {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DyBtC0EyByEyDtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1529630250
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={436E8802-A75B-11E1-8590-9439E594C774}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = Dostępne tylko dla zarejestrowanych użytkowników{436E8802-A75B-11E1-8590-9439E594C774}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files (x86)\Freecorder\prxtbFree.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes,DefaultScope = {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112468&tt=220512_53all&babsrc=SP_ss&mntrId=ca28e74500000000000060d81958a94a
IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DyBtC0EyByEyDtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1529630250
IE - HKCU\..\SearchScopes\{95BCF03F-EB94-4754-8561-78ECF87A2F50}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1060933
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={436E8802-A75B-11E1-8590-9439E594C774}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: Babylon Toolbar = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.6_0\
CHR - Extension: Complitly plugin for chrome = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: SiteAdvisor = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.41.123.2_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: 1Click Downloader = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh\1.2_0\
CHR - Extension: Click to call with Skype = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.6.0.8153_0\
CHR - Extension: Yontoo = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
CHR - Extension: Babylon Toolbar = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.6_0\
CHR - Extension: Complitly plugin for chrome = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: SiteAdvisor = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.41.123.2_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: 1Click Downloader = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh\1.2_0\
CHR - Extension: Click to call with Skype = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.6.0.8153_0\
CHR - Extension: Yontoo = C:\Users\Justyna\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)
[2012-07-24 18:45:22 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{18671EC4-3C70-48D5-80B0-4EB06D0EE45C}
[2012-07-24 18:45:11 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{0910646E-6555-4D2A-845F-8D2EC757D599}
[2012-07-24 18:45:00 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{28606ACB-8DAC-44B4-B5C5-4CE3D5A38659}
[2012-07-24 18:44:50 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{6E97A419-3F22-4AA0-9EC8-109A487B0107}
[2012-07-24 18:44:39 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{DD3E830B-70BF-487B-8839-4F2FC0BB5661}
[2012-07-24 18:44:28 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{B1775EE8-A2AD-4E03-85D1-F2AAAB6E24AA}
[2012-07-24 18:44:16 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{2DBF42E1-38F2-402A-A154-3B87C6BA31D6}
[2012-07-24 09:24:27 | 000,000,000 | ---D | C] -- C:\Users\Justyna\AppData\Local\{CECDA240-BA93-4C63-A236-2A69D6A5C95D}
[2012-08-12 21:49:23 | 000,384,835 | ---- | M] () -- C:\Users\Justyna\AppData\Local\speeddial.crx

:Files
C:\Program Files (x86)\Google\Update
$RECYCLE.BIN /alldrives
C:\windows\temp
C:\Qoobox
C:\windows\erdnt
C:\Program Files\SkanerOnline
C:\ProgramData\flmphxgsjbiijaj
C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk
C:\Users\Justyna\AppData\Local\Facebook\Update

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości