komputer kolegi dostał jakiejś infekcji, prawdopodobnie Ukash lub coś podobnego.
Z góry dzieki
Załączone pliki
-
OTL.Txt 118,13 KB
317 Ilość pobrań
-
Extras.Txt 58,45 KB
285 Ilość pobrań
Logi - Podejrzenie infekcji UKASH
Rozpoczęty przez
foxart
, 07 11 2012 15:37
-
Temat jest zamknięty
4 odpowiedzi w tym temacie
#1
foxart
-
-
- 46 postów
Początkujący
Napisano 07 11 2012 - 15:37
Witam,
komputer kolegi dostał jakiejś infekcji, prawdopodobnie Ukash lub coś podobnego.
Z góry dzieki
komputer kolegi dostał jakiejś infekcji, prawdopodobnie Ukash lub coś podobnego.
Z góry dzieki
#2
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 07 11 2012 - 17:22
Cześć,
Faktycznie jest UKASH
Odinstaluj:
Następnie:
Faktycznie jest UKASH
Odinstaluj:
Browsers ProtectorUruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=64445b0a-9200-11e1-905a-b870f4571cac
IE - HKLM\..\SearchScopes\{F9127B9C-C742-4C03-BE59-6F8EB5E2E6E5}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=64445b0a-9200-11e1-905a-b870f4571cac&q={searchTerms}
IE - HKU\S-1-5-21-3024449750-3762068507-525206156-1000\..\SearchScopes\{F9127B9C-C742-4C03-BE59-6F8EB5E2E6E5}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=64445b0a-9200-11e1-905a-b870f4571cac&q={searchTerms}
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\sklepk0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\sklepk0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\sklepk0\klbydoteijgielqvyeufy.exe
C:\Windows\SysWow64\130bd4bf.exe
:Commands
[emptytemp]
Kliknij Wykonaj skrypt daj log z usuwania.Następnie:
- Daj log z programu Autoruns
- W OTL'u kliknij "Sprzątanie"
#3
foxart
-
-
- 46 postów
Początkujący
Napisano 07 11 2012 - 17:45
Dzięki wielkie za pomoc,
niestety dałem ciała i w szale nie zapisałem loga z OTL. Załączam logi z Autorunsa.
niestety dałem ciała i w szale nie zapisałem loga z OTL. Załączam logi z Autorunsa.
Załączone pliki
-
AutoRuns.txt 66,53 KB
283 Ilość pobrań
#4
pawel315
-
-
- 1 553 postów
Uzależniony od forum
Napisano 07 11 2012 - 17:51
dobra to w OTL'u kliknąłeś "Sprzątanie" jak tak to
w autoruns odznacz
zakładka:
"HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms"
"rdpclip"
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run"
"Adobe ARM"
"Adobe Reader Speed Launcher"
"SunJavaUpdateSched"
to wszystko
w autoruns odznacz
zakładka:
"HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms"
"rdpclip"
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run"
"Adobe ARM"
"Adobe Reader Speed Launcher"
"SunJavaUpdateSched"
to wszystko
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych
