Kolejny system zarażony przez UKASH

[ciutsensu]

Witam wszystkich.

 

Dzisiaj w trakcie przeglądania zasobów sieci mój komputer został zarażony UKASH.

 

po kilkunastu próbach skanowania OTL generuje tylko log OTL, niestety extras już nie - wyskakuje komunikat o treści "Win 32 Error. Code:23. Błąd danych (CRC)." podczas zaznaczania rejestr - skan dodatkowy: użyj filtrowania ciągle pod koniec skanowania pojawia się ten sam problem. system jest uruchamiany z poziomu administratora w trybie awaryjnym z obsługą siecią i uruchamiany z uprawnieniami administratora więc nie w tym tkwi problem.

 

póki co żadne rozwiązania i metody nie pomagają na to, żeby uzyskać extras z OTL. Wysyłam log OTL. Proszę o pomoc - w jaki sposób sprawić aby możliwe było przeskanowanie systemu z wygenerowaniem extrasu, lub o pomoc na podstawie tego co jedynie mogę wygenerować.

OTL.Txt

[mgrzeg]

Wybaczcie, że się wcinam, ale po raz kolejny pojawia się na forum informacja o błędzie 'Win32 Error. Code 23..' i być może uda się coś ustalić.

 

ciutsensu, czy możesz jeszcze raz spróbować uruchomić OTL i wykonać skan? W momencie, gdy pojawi się komunikat błędu, który zacytowałeś, nie zamykaj go, tylko uruchom menadżera zadań (np. przy użyciu kombinacji klawiszy ctrl+shift+esc), przejdź na zakładkę procesy, zaznacz proces OTL klikając na niego prawym przyciskiem myszy i wybierz 'Utwórz plik zrzutu' (Tu jest przykład jak to zrobić). Tak wygenerowany plik spakuj i wrzuć gdzieś (np. na hotfile.com), a tu podaj link.

Dzięki i już nie przeszkadzam

 

m.g.

[ciutsensu]

dziękuje za pomoc.

spakowany zrzut w pliku poniżej.

 

https://hotfile.com/...94/OTL.zip.html

 

 

Prosiłbym o jakąkolwiek pomoc, ponieważ mój post jest wcześniej napisany niż innych nowych użytkowników, którzy dodali post później a mimo to już uzyskali pomoc.

[picasso]

Zajmujecie się najmniej istotną tu sprawą. Na debug błędów można sobie pozwolić w komfortowych warunkach a nie przy zablokowanym trojanem systemie. Ten błąd OTL nie ma związku z tą infekcją, występował tu na forum także na zupełnie czystych systemach, przed plagą.

 

 

Prosiłbym o jakąkolwiek pomoc, ponieważ mój post jest wcześniej napisany niż innych nowych użytkowników, którzy dodali post później a mimo to już uzyskali pomoc.

 

Przyznam, że ilość odpowiedzi mnie zmyliła. Omijałam ten temat myśląc, że Landuss się nim zajmuje. Znacznika mojej wypowiedzi brak w ikonie.

 

 

---

Infekcji to tu więcej niż się wydaje. Nie tylko UKASH, ale i infekcja z dysków USB i parę innych obiektów. Przechodząc do usuwania tego wszystkiego:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1303752971-75439624-3200289219-1000..\Run: [ennjwupyt] C:\Users\jakkolwiek\AppData\Roaming\uaueqtg.dll ()
O4 - HKU\S-1-5-21-1303752971-75439624-3200289219-1000..\Run: [ihbifcmakpywzdu] C:\ProgramData\ihbifcma.exe ()
O4 - HKU\S-1-5-21-1303752971-75439624-3200289219-1000..\Run: [MSSMSGS] C:\Windows\System32\winszd32.rom ()
IE - HKU\S-1-5-21-1303752971-75439624-3200289219-1000\..\SearchScopes\{4E443F76-D0B1-4815-826F-5CA9B256D25F}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-1303752971-75439624-3200289219-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=uuS62xjNIPVf8XDhygmWT1_Cyr0?q={searchTerms}"
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) -  File not found
O37 - HKU\S-1-5-21-1303752971-75439624-3200289219-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] --  -- (sxezjn)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys
 
:Files
autorun.inf /alldrives
mdoxok.exe /alldrives
C:\ProgramData\duvqntuikkrvkzt
C:\ProgramData\gmrhgysncbawfwb
C:\ProgramData\shqyjhgx.exe
C:\Users\jakkolwiek\ms.exe
C:\Users\jakkolwiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scan*.dll
C:\Users\jakkolwiek\kloadF5.dll
C:\Users\jakkolwiek\peload3E.dll
C:\Program Files\mozilla firefox\searchplugins\fast.png
C:\Program Files\mozilla firefox\searchplugins\fast.xml
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
C:\found.*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6E5075A-FC4D-44D6-A402-F104E4E20863}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6E5075A-FC4D-44D6-A402-F104E4E20863}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware toolplugin + vShare.tv plugin.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras), zaległy GMER. Zamiast OTL Extras zrób logi z DDS, ale dołącz tylko plik Attach. Podaj także log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

 

.

[ciutsensu]

Dziękuje za pomoc. Niestety z rozpędu zrobiłem skanowanie w OTL po zakończeniu pracy z AdwCleaner i zapisałem na wcześniejszym logu.

 

Poniżej wszystkie wygenerowane logi :

AdwCleanerS1.txt

Attach.txt

GMER.txt

OTL.Txt

[picasso]

Ten log z GMER coś bardzo krótki - to na pewno pełne skanowanie a nie preskan?

 

 

Niestety z rozpędu zrobiłem skanowanie w OTL po zakończeniu pracy z AdwCleaner i zapisałem na wcześniejszym logu.

 

Log z wynikami usuwania jest zapisywany automatycznie i nie jest niczym nadpisywany. OTL tworzy logi z usuwania w katalogu kwarantanny C:\_OTL (jeśli OTL uruchomiono z innego dysku = na tymże jest folder generowany).

 

 

Skrypt nie został wykonany prawidłowo / całkowicie. Nadal widoczne rzeczy, które były zaplanowane do usuwania.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\duvqntuikkrvkzt
C:\ProgramData\gmrhgysncbawfwb
C:\ProgramData\shqyjhgx.exe
C:\Users\jakkolwiek\ms.exe
C:\Users\jakkolwiek\kloadF5.dll
C:\Users\jakkolwiek\peload3E.dll
C:\Users\jakkolwiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scan*.dll
C:\Users\jakkolwiek\AppData\Roaming\toolplugin
C:\Program Files\mozilla firefox\searchplugins\fast.png
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
autorun.inf /alldrives
mdoxok.exe /alldrives
C:\found.*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6E5075A-FC4D-44D6-A402-F104E4E20863}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C6E5075A-FC4D-44D6-A402-F104E4E20863}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Jak poprzednio: nastąpi restart i powinien się otworzyć log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[ciutsensu]

rzeczywiście log z GMER'a wcześniej nie został wygenerowany do końca.

 

poniżej logi z USBFix i OTL :

UsbFix.txt

GMER.txt

OTL.Txt

OTLnew.Txt

[picasso]

W GMER nic jawnego. Skrypt do OTL wykonany. Mamy jednak problem. Infekcja wszczepiona w system z nośnika USB nie chce puścić, autorun.inf nie schodzi (File move failed. C:\autorun.inf scheduled to be moved on reboot.) + po usuwaniu nawroty pozostałych, na wszystkich dyskach nadal widzialne obiekty infekcji:

 

################## | Listing |
 
[12/07/2012 - 21:21:23 | RASH | 344] 	C:\autorun.inf
[14/07/2012 - 19:27:19 | A | 103140] 	C:\mdoxok.exe
[03/02/2012 - 23:52:09 | RSH | 103140] 	E:\aqduqb.pif
[25/01/2012 - 14:45:42 | RASH | 285] 	E:\autorun.inf

 

Tu może być gen Sality (infekcji w wykonywalnych).

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\autorun.inf
E:\autorun.inf

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes

killallprocesses
 
:Files
C:\autorun.inf
C:\mdoxok.exe
E:\autorun.inf
E:\aqduqb.pif

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Podaj do wglądu: log z usuwania OTL z punktu 2 oraz nowy z USBFix z opcji Listing.

 

 

.

[ciutsensu]

Poniżej logi.

UsbFix.txt

OTL.txt

[picasso]

Nic z tego, problem nadal, rekonstrukcje usuwanych. Silne podejrzenie wirusa w wykonywalnych. Przez SHIFT+DEL skasuj katalog C:\_OTL i wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary, co znacznie wydłuży skan, ale da pewniejsze rezultaty. Zaprezentuj wyniki, tylko te klasy "Detected", reszta mnie nie interesuje.

 

 

 

.

[ciutsensu]

poniżej pełne wyniki skanowania programem Kaspersky Virus Remowal Tool, ponieważ jest tylko jeden plik detected.

Kaspersky.txt

[picasso]

Przypuszczenie się niestety sprawdziło, tu jest w toku infekcja w plikach wykonywanych Sality. Wykryte jako zainfekowane różne prawidłowe aplikacje. Wyniki niezbyt obszerne ... jeszcze, ale brak pewności czy rozprzestrzenianie się wirusa zostało zatrzymane. Zrób skanowanie po raz drugi, tym razem narzędziem specjalizowanym SalityKiller. Po akcji przedstaw co widział program oraz dorzuć nowy log z USBFix z opcji Listing.

 

 

 

.

[ciutsensu]

W SalityKiller za pierwszym razem pojawiło się w podsumowaniu znacznie więcej po niemal 4 godzinach skanowania, ale nie zapisałem od razu myśląć że robi się to automatycznie. Poniżej wynik z drugiego skanowania, które zrobiło się w 10 minut oraz log z usbfix.

 

Po skanowaniu SalityKiller zauważyłem znaczącą poprawę w szybkości pracy systemu jak również znaczące obniżenie wykorzystywania CPU.

UsbFix.txt

[picasso]

Na dyskach nadal pliki Sality, rozmnożyły się.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\ahagu.exe
C:\autorun.inf
C:\ghvqil.pif
C:\snrn.exe
C:\ycxxca.pif
E:\aqduqb.pif
E:\autorun.inf
E:\fjae.exe
E:\pnqamq.exe

 

Klik w Wykonaj skrypt.

 

2. Na wszelki wypadek zrób po raz trzeci skan w SalityKiller. Dodatkowo, sprawdź czy się ładuje Tryb awaryjny. Na samym początku tematu logi były robione z jego poziomu, czyli Sality wtedy jeszcze nie manipulował w rejestrze w tym obszarze. Aktualnie sprawa niejasna.

 

3. Do oceny to co zwykle: log z usuwania OTL + USBFix z opcji Listing + dodaj również nowy skan OTL.

 

 

.

[ciutsensu]

zrobione.

 

tryb awaryjny działa normalnie.

OTL.Txt

UsbFix.txt

OTL po skrypcie.txt

[picasso]

Sprawa zdaje się być rozwiązana, tym razem wszystko z urządzeń zniknęło i nie ma nawrotu. Możemy przejść do zakończeń:

 

1. Immunizacja przez tym typem infekcji autorun.inf. W Panda USB Vaccine zastosuj Computer Vaccination (zabezpieczenie po stronie Windows).

 

2. Porządki po narzędziach: odinstaluj Kasperskiego i USBFix, w AdwCleaner wybierz Uninstall, w OTL uruchom Sprzątanie, a resztę używanych skasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych co wymaga interwencji, krytyczny status aktualizacji Windows (brak SP2+IE9 oraz łat następujących po nich) i widoczne wersje:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
==== Installed Programs ======================
 
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 ActiveX (wtyczka dla IE)
Adobe Flash Player 11 Plugin (wtyczka dla Opera/FF)
Adobe Reader 8 - Polish
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Foxit Reader
Java™ 6 Update 11
Java™ 6 Update 6
Microsoft Office Home and Student 2007 ----> brak pakietu SP3
OpenOffice.org 3.0
Opera 11.62
Skype™ 3.8

 

Tak niski poziom aktualizacji Windows dzwoni. Proszę potwierdź, że Windows Update działa i wykonanie wszystkich aktualizacji od A do Z.

 

 

 

.

[ciutsensu]

done!

 

jedynie co mi pozostało po tym wszystkim to dość częste zawieszanie się touchpad'a i odblokowywanie jedynie poprzez użycie myszki.

dziękuje bardzo za pomoc!

[picasso]

Był tu Sality, może coś zostało naruszone w oprogramowaniu touchpad. Hmmm, reinstalacja tego oprogramowania?

[ciutsensu]

dziękuje za pomoc. temat do zamknięcia