Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ponownie wirus Ukash

sonic01

Przez sonic01
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

sonic01

sonic01

Opublikowano
Opublikowano

Witam.

Jakiś tydzień temu złapałem wirusa ukash i za radą znajomego użyłem programu Combofix co poskutkowało tym że komputer zostal odblokowany i to mnie ucieszyło. Dziś rano jak wstałem i włączyłem monitor (komputer chodzi cały czas) patrzę a tu znowu blokada wirusa ukash. W trybie awaryjnym z obsługą sieci zacząłem szukać informacji i znowu combofix-em usunąłem wirusa ale zacząłem już więcej szukać na ten temat i tak trafiłem tutaj. Zastosowałem program OTL więc poniżej wklejam jego logi i log combofixa no i proszę o pomoc

ComboFix.txt

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Jakiś tydzień temu złapałem wirusa ukash i za radą znajomego użyłem programu Combofix co poskutkowało tym że komputer zostal odblokowany i to mnie ucieszyło.

 

Na temat nienadzorowanego używania ComboFix: KLIK. W kwestii logów: aktualnie wpis infekcji jest poszkodowany, obecny lecz bezplikowy, a ponadto nadal istnieje poboczny folder hellomoto. Należy doczyścić rejestr i dysk. Przy okazji odbędzie się usuwanie odpadków adware.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [WinSyncProviders] C:\Users\Player One\AppData\Local\Microsoft\Windows\2823\WinSyncProviders.exe File not found
O2 - BHO: (no name) - {1630669F-9D0C-4F0B-8AA9-10DE8BEE1755} - No CLSID value found.
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
 
:Files
C:\Users\Player One\AppData\Local\Microsoft\Windows\2823
C:\Users\Player One\AppData\Roaming\hellomoto
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Users\Player One\AppData\Roaming\Mozilla\Firefox\Profiles\iml3vpvr.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

.

Odnośnik do komentarza
sonic01

sonic01

Opublikowano
  • Autor
Opublikowano

Dziękuję za pomoc, zrobiłem co kazano i zamieszczam logi.

PS.

Mam jeszcze pytania :

1 za pierwszym i drugim razem skanowałem w OTL na tych samych ustawieniach (po prostu nic nie zmieniałem) wiec dlaczego po Twoich wskazówkach przy drugim skanowaniu OTL nie dał pliku extras ?

2 czy gdybym nie używał combofix-a tylko od razu OTL to OTL też by wywalił wirusa ?

3 czy gdybym znowu załapał tego ukash to skrypt który dałaś mogę zastosować znowu czy znowu muszę pisać nowy temat i dać nowe logi a Ty wygenerujesz nowy skrypt (komputer ten sam) ?

4 czy przywrócenie systemu i plików z wykonanego po instalacji obrazu partycji spowoduje skasowanie wirusa czy wirus pozostanie ?

 

Masakra.

Już nie mam siły, znowu ten sam wirus, zrobiłem skan OTL-em i dołączam log o nazwie OTL 2.

Czy mam wykonać ten sam skrypt czy będzie nowy inny ?

Skąd ten wirus się łapie ? Podejrzewam jedno bo córka przyznała się że używa jakiegoś autosurfa do promowania stron, tłumaczy ze tam w przeglądarce wyświetlają się strony użytkowników i czy jest możliwe ze któraś z tych stron rozsyła tego wirusa ?

log po wykonaniu skryptu i restarcie.txt

OTL.Txt

OTL2.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
1 za pierwszym i drugim razem skanowałem w OTL na tych samych ustawieniach (po prostu nic nie zmieniałem) wiec dlaczego po Twoich wskazówkach przy drugim skanowaniu OTL nie dał pliku extras ?

 

Przecież to jest wyjaśnione w opisie na forum, na różowym tle: KLIK. Nie potrzebuję pliku Extras po raz drugi, wykonywanie skryptów w tym przypadku nie zmienia zawartości tego pliku.

 

 

2 czy gdybym nie używał combofix-a tylko od razu OTL to OTL też by wywalił wirusa ?

 

Nie. OTL jest narzędziem analitycznym i bez poinstruowania nic absolutnie nie robi. A by go prawidłowo poinstruować, należy dobrze się na sprawie znać, czyli umieć zaznalizować logi (a to jest wynikiem znajomości Windows). Skoro Ty mi zadajesz pytanie czy można używać w kółko ten sam skrypt = nie rozumiesz zawartości skryptu.

 

 

Już nie mam siły, znowu ten sam wirus, zrobiłem skan OTL-em i dołączam log o nazwie OTL 2.

Czy mam wykonać ten sam skrypt czy będzie nowy inny ?

 

Tamten skrypt jest nieaktualny. Za każdym razem sprawę analizuje się od początku.

 

 

4 czy przywrócenie systemu i plików z wykonanego po instalacji obrazu partycji spowoduje skasowanie wirusa czy wirus pozostanie ?

 

To nie jest wirus (wirus replikuje się w plikach), to jest trojan gatunku "ransomware". Recovery czy format = oczywiście, że zlikwidują problem. Tylko to są drastyczne metody w kontekście likwidacji tak banalnej infekcji. Wbrew pozorom to jest prymitywna infekcja, jeden wpis w starcie... i sam popatrz, tyle byś się nabiedził z Recovery (wszystkie dane wstecz cofnięte), a infekcja ponownie złapana (czyli robota na marne):

 

 

Skąd ten wirus się łapie ? Podejrzewam jedno bo córka przyznała się że używa jakiegoś autosurfa do promowania stron, tłumaczy ze tam w przeglądarce wyświetlają się strony użytkowników i czy jest możliwe ze któraś z tych stron rozsyła tego wirusa ?

 

Dyskusja na forum: KLIK. Źródła są różne, nośnikiem mogą być linki i reklamy na normalnych stronach.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [WinSyncProviders] C:\Users\Player One\AppData\Local\Microsoft\Windows\2823\WinSyncProviders.exe ()
 
:Files
C:\Users\Player One\AppData\Local\Microsoft\Windows\2823
C:\Users\Player One\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

.

Odnośnik do komentarza
sonic01

sonic01

Opublikowano
  • Autor
Opublikowano

Wykonane i usunięte, dziękuję bardzo za pomoc. Tak na marginesie strach teraz buszować po stronach biorąc pod uwagę to że jestem już po czterdziestce i nie klikam bezmyślnie w każdy link no i wydawało mi się że już sporo umiem w sprawach komputera ale na tej blokadzie ukash poległem. Chylę czoła.

Czy możesz polecić jakiś(eś) programy które wykrywają i zapobiegają temu ukash itp. ?

Dodaję logi

OTL.Txt

log po wykonaniu skryptu i restarcie.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Czy możesz polecić jakiś(eś) programy które wykrywają i zapobiegają temu ukash itp. ?

 

Nie wyciągnąłeś wniosków z podanego linka dyskusyjnego? Zabezpieczenie jest wynikową wielu czynników: zachowanie użytkownika, stopień aktualizacji jego oprogramowania, program zabezpieczający. Aktualnie widzę w systemie AVG i OK, nie znam żadnego programu o charakterystyce którą nakreślasz, tzn. ścisła specjalizacja na kierunek UKASH-oidów. Można za to stosować wirtualizery / piaskownice, by uruchamiać przeglądarki w takim izolowanym środowisku, ograniczając szkody w rzeczywistym systemie.

 

 

W ramach wykończeń czyszczenia:

 

1. W Dzienniku zdarzeń jest nagrany powielający się błąd WMI numer 10. Napraw go narzędziem z artykułu KB2545227.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

D:\Documents\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy, w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox/Opera) ----> już jest najnowsza
"Foxit Reader_is1" = Foxit Reader

 

Zwracam uwagę, m.in. Java jest tu przestarzała, a stara Java to jedna z furtek.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...