Ukash zaatakował

[Kriskce1]

Pomagam mojemu bratu bo został dorwany przez słynnego dzisiaj (co widzę po tematach) wiruska.
Dołączam logi do systemu 32 bitowego i proszę o pomoc

gmer.txt

Gmer

(1.25 KiB) Ściągnięto 109 razy

OTL.Txt

OTL

(51.21 KiB) Ściągnięto 51 razy

Extras.Txt

extras

(28.29 KiB) Ściągnięto 59 razy

Dodano Dzisiaj, 22:09:
Aha zapomniałem napisać że logi są z trybu awaryjnego (jeśli to jest różnica, a czuję że tak )

[defacto19]

Uruchom SystemLook (32-bit) -> http://jpshortstuff.247fixes.com/SystemLook.html
do okna wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

:filefind
services.exe

Kliknij Look, i przedstaw wynikowy raport.

[Kriskce1]

Wykonałem czynność jak prosiłeś oto wynik

SystemLook.txt

System Look

(2.14 KiB) Ściągnięto 55 razy

[wojtas]

Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep i zatwierdź komendę:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1327602213_649387
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1327602213_649387
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1327602213_649387
IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
[2012-01-26 20:23:33 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
[2011-11-12 18:45:31 | 000,001,183 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-pl.xml
[2011-11-12 18:45:31 | 000,001,683 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wp-pl.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O4 - HKCU..\Run: [{79A54C7E-45F5-4B20-B911-321296C692CD}] C:\Users\Łukasz\AppData\Roaming\Uwtuwy\fogy.exe File not found
O4 - HKCU..\Run: [4Y3Y0C3AXF7W1VXWQQRVTG] C:\Recycle.Bin\B6232F3ABB5.exe ()
O4 - HKCU..\Run: [omcmhvxjfifcrax] C:\ProgramData\omcmhvxj.exe ()
O4 - HKCU..\Run: [vtrhjg82] C:\Users\Łukasz\AppData\Roaming\vtrhjg82.exe ()
O4 - HKCU..\RunOnce: [Report] C:\AdwCleaner[S1].txt ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: GanymedeNet = C:\Users\Łukasz\AppData\Roaming\A56D1B.exe (ZyXEL)
[2012-08-07 15:25:00 | 000,000,000 | ---D | C] -- C:\ProgramData\vbyuvandfbwjyec
[2012-07-15 10:29:55 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85059F28E1BD18AEE14F147C45
[2009-07-14 02:20:27 | 000,042,496 | -HS- | C] (ZyXEL) -- C:\Users\Łukasz\AppData\Roaming\A56D1B.exe
[2012-08-07 15:25:01 | 000,000,051 | ---- | M] () -- C:\ProgramData\urmrufvqjmvcxru
[2012-08-07 15:24:59 | 000,061,440 | ---- | M] () -- C:\Users\Łukasz\ms.exe
[2012-08-07 15:24:55 | 000,061,440 | ---- | M] () -- C:\ProgramData\omcmhvxj.exe
[2012-08-07 15:24:55 | 000,061,440 | ---- | M] () -- C:\Users\Łukasz\0.5858465554493447.exe
[2012-06-22 14:22:05 | 000,020,480 | ---- | C] () -- C:\Windows\Installer\{2cb36ac3-ad5e-a469-6979-930feea320c0}\U\800000cb.@
[2012-06-22 14:22:05 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{2cb36ac3-ad5e-a469-6979-930feea320c0}\U\80000000.@
[2012-06-22 14:22:04 | 000,001,712 | ---- | C] () -- C:\Windows\Installer\{2cb36ac3-ad5e-a469-6979-930feea320c0}\U\00000001.@
[2011-07-27 14:46:05 | 000,000,058 | ---- | C] () -- C:\Users\Łukasz\AppData\Roaming\you.bmp
[2011-07-22 12:55:02 | 000,140,800 | ---- | C] () -- C:\Users\Łukasz\AppData\Roaming\vtrhjg82.exe
[2009-07-14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{2cb36ac3-ad5e-a469-6979-930feea320c0}\@
[2009-07-14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Users\Łukasz\AppData\Local\{2cb36ac3-ad5e-a469-6979-930feea320c0}\@

:Files
C:\Users\Łukasz\AppData\Local\{2cb36ac3-ad5e-a469-6979-930feea320c0}
C:\Windows\Installer\{2cb36ac3-ad5e-a469-6979-930feea320c0}

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). Oraz nowy raport z System Look

Autor postu otrzymał pochwałę

[Kriskce1]

Wykonałem po kolei jak kazałeś i niestety mam mały problem , ale może najpierw raporty

OTL1.Txt

OTL

(48.02 KiB) Ściągnięto 36 razy

08132012_214717.txt

Po skanie

(9.98 KiB) Ściągnięto 45 razy

natomiast System Look po odpaleniu LOOK wyskakuje "Script required!"

[defacto19]

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- H:\software\everest_ultimate_portable_4.50.1330_multilang\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (agy06m3r)
O33 - MountPoints2\{caa0c812-d3b5-11df-ac00-88ae1d6e835a}\Shell - "" = AutoRun
O33 - MountPoints2\{caa0c812-d3b5-11df-ac00-88ae1d6e835a}\Shell\AutoRun\command - "" = "H:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Autorun.exe

:Files
C:\ProgramData\036DFF85059F28E1BD18AEE14F147C45
C:\Windows\tasks\Norton Security Scan for Łukasz.job

:Reg
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

:Commands
[emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie, i przedstaw go na forum.

[Kriskce1]

raport po restarcie

raport.txt

OTL

(5.3 KiB) Ściągnięto 137 razy

[defacto19]

Uruchom OTL i użyj opcji sprzątanie.

Zainstaluj aktualizacje do programow wskazanych przez Security Check jako out of date.

Autor postu otrzymał pochwałę