Skocz do zawartości

Komputer zaatakowany wirusem Ukash


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu mówią wyraźnie, by nie zatajać używania ComboFix i przedstawić log który utworzy. Na temat bezmyślnego użytkowania aplikacji: KLIK. Są skutki uboczne, ComboFix uszkodził usługę Automatycznych aktualizacji (resetuje tę wartość na C:\WINDOWS, zawsze):

 

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

 

Notowalne szczątki innych infekcji i adware....

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe ()
O4 - HKLM..\Run: [TkBellExe] "realsched.exe"  -osboot File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKCU..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe ()
O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk ()
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\janek\USTAWI~1\Temp\DAT2E.tmp.exe -- (nxezjkvxxtxjezf)
DRV - [2010-10-22 18:12:53 | 000,044,288 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS1\system32\drivers\uebsa.sys -- (viakwtbl)
[2012-07-13 23:19:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\hmpmvfppoyrcrxb
[2012-07-13 23:19:06 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\keldoknugpwdmuj
[2011-01-13 21:11:40 | 000,000,272 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixD
[2011-01-13 21:11:40 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixDr
[2011-01-13 21:11:35 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\xNK67KheixD
[2010-09-17 20:26:54 | 000,297,438 | ---- | C] () -- C:\WINDOWS1\System32\shimg.dll
[2010-07-20 18:40:34 | 000,203,776 | -HS- | C] () -- C:\WINDOWS1\System32\unrar.exe
[2010-09-02 19:43:43 | 000,000,000 | ---D | M] (Adobe Flash Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{1CE11043-9A15-4207-A565-0C94C42D590D}
[2007-11-02 16:32:05 | 000,000,000 | ---D | M] (AdVantage) -- C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302}
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):"C:\WINDOWS1\system32\wuauserv.dll"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, PCSpeedUp Application, Przyspiesz Komputer, Winamp Toolbar for Internet Explorer. Przy okazji możesz odinstalować kompletnie przestarzały Skaner on-line mks_vir.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Odnośnik do komentarza

Z gory dzieki za pomoc.

Wydaje mi sie iz wszystko zrobilem wedle instrukcji. NIe udalo mi sie usunac z panela sterowania Ask Toolbar

ale na kompie tego programu juz nie ma

1.

 

Z gory dziekuje z pomoc

 

Wydaje mi sie iz wszystkie zalecenia zrobilem. Nie usunalem z panelu sterowania ASK Toolbar (nie moge)ale tego programu na kompie juz nie ma.

OTL.Txt

GMER.txt

AdwCleanerS1.txt

OTL -pkt1.txt

Edytowane przez picasso
Proszę używaj opcji Edytuj, gdy nikt jeszcze nie odpisał. Posty scalam. //picasso
Odnośnik do komentarza

Infekcja nie została usunięta, prawie nic nie zostało wykonane. Skrypt do OTL nie przetworzony, bo się pomyliłeś. Ominąłeś wklejenie dyrektywy :OTL, skutki to nie przetworzenie 90% skryptu i linie z markerem Error: Unable to interpret.

 

 

1. Powtórka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe ()
O4 - HKLM..\Run: [TkBellExe] "realsched.exe"  -osboot File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKCU..\Run: [izvenshhodydgbc] C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\izvenshh.exe ()
O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.):
O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..extensions.enabledItems: {1CE11043-9A15-4207-A565-0C94C42D590D}:11.3.7.0
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\janek\USTAWI~1\Temp\DAT2E.tmp.exe -- (nxezjkvxxtxjezf)
DRV - [2010-10-22 18:12:53 | 000,044,288 | ---- | M] () [Kernel | Boot | Stopped] -- C:\WINDOWS1\system32\drivers\uebsa.sys -- (viakwtbl)
[2012-07-13 23:19:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\hmpmvfppoyrcrxb
[2012-07-13 23:19:06 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\keldoknugpwdmuj
[2011-01-13 21:11:40 | 000,000,272 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixD
[2011-01-13 21:11:40 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\~xNK67KheixDr
[2011-01-13 21:11:35 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\xNK67KheixD
[2010-09-17 20:26:54 | 000,297,438 | ---- | C] () -- C:\WINDOWS1\System32\shimg.dll
[2010-07-20 18:40:34 | 000,203,776 | -HS- | C] () -- C:\WINDOWS1\System32\unrar.exe
[2010-09-02 19:43:43 | 000,000,000 | ---D | M] (Adobe Flash Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{1CE11043-9A15-4207-A565-0C94C42D590D}
[2007-11-02 16:32:05 | 000,000,000 | ---D | M] (AdVantage) -- C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

.

Odnośnik do komentarza

Teraz zadanie zostało wykonane poprawnie. Tylko dlaczego OTL zrobiony ponownie z poziomu Trybu awaryjnego, skoro system został odblokowany? Możemy przejść dalej:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\WINDOWS1\erdnt.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Widzę zainstalowany MBAM. Na wszelki wypadek zrób w nim pełne (nie ekspresowe) skanowanie, bo w logu był przynajmniej jeden obiekt który on wykrywa (czyli skan uprzednio albo zrobiony ekspresem albo wcale). Gdyby coś wykrył = pokaż.

 

4. Ważne aktualizacje: KLIK. A tu z Twojej listy zainstalowanych wykaz wersji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 11

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage ----> brak pakietu SP

"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9

"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF)

"Gadu-Gadu" = Gadu-Gadu 7.7

"Gadu-Gadu 10" = Gadu-Gadu 10

 

Rozszczepienie Gadu też punktuję, z powodów: GG7 to kiepskie bezpieczeństwo (brak szyfrowania) + brak kompatybilności z własną siecią, GG10 to niewiarygodne spożycie zasobów systemowych + ogłuszająca ilość komercji. Sugeruję oglądnięcie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, bądź AQQ. Opisy tu: KLIK.

 

5. Jako zamknięcie dobór antywirusa. Z darmowych przykładowe propozycje: Avast, AVG, COMODO, Panda Cloud Antivirus, Microsoft Security Essentials.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...