również Ukash

[zaki95]

Witam. Przedwczoraj wieczorem "złapałem" ukasha (blokada systemu). Dziś (wejście do systemu z F8), po natrafieniu na artykuł w WP, "na szybkiego" zastosowałem ComboFix. Dopiero po trafieniu na to forum okazało się, że przedwcześnie. W tej chwili wydaje się, że do systemu wchodzę normalnie, jednak prosiłbym o sprawdzenie, czy problem został usunięty skutecznie.

W załączeniu logi.

OTL.Txt

Extras.Txt

ComboFix.txt

[picasso]

ComboFix nie usunął wszystkich składników infekcji, a poza tym ciął na chama adware (które należało po prostu odinstalować). I tak jest co poprawiać. A to skutki uboczne jego uruchomienia:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
 
 
c:\windows\IsUn0415.exe
 
 
- - - - USUNIĘTO PUSTE WPISY - - - -
 
AddRemove-Szkoła podstawowa klasa 5 - Tajemnice przyrody - c:\windows\IsUn0415.exe

 

 

1. Deinstalacje adware:

- Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, BabylonObjectInstaller, Giant Savings, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, Softonic toolbar on IE.

- Otwórz Firefox i w Dodatkach odinstaluj: Browser Companion Helper, Facemoods, SweetIM Toolbar for Firefox.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: Babylon Toolbar, Browser Companion Helper, Giant Savings. Ponadto, przestaw stronę startową z Babylon na coś innego.

 

2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\ernhculgdhknyxx
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 3 oraz AdwCleaner z punktu 2.

 

 

 

.

[zaki95]

W Google Chrom->Narzędzia->Rozszerzenia nie znalazłem Babylon.., Browser.. i Giant.., więc w tym miejscu ich nie odinstalowałem (chroma nie używam, więc możliwe, że szukam nie tam, gdzie trzeba).

Logi w załączeniu - mam nadzieję, że wykonane właściwie.

 

ups... nie mogę załączyć pliku z logiem usuwania z p.3, więc wklejam poniżej:

 

All processes killed

========== FILES ==========

C:\ProgramData\ernhculgdhknyxx folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56468 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: Zbyszek

->Temp folder emptied: 750082 bytes

->Temporary Internet Files folder emptied: 1772407778 bytes

->Java cache emptied: 16945330 bytes

->FireFox cache emptied: 66463644 bytes

->Google Chrome cache emptied: 291422362 bytes

->Flash cache emptied: 3703 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 836 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 2 049,00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 07152012_215837

Files\Folders moved on Reboot...

C:\Users\Zbyszek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JIYPR21W\fastbuttonCAZZ4626.htm moved successfully.

C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\H45MVFYA\10337-rowniez-ukash[1].htm moved successfully.

C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

File C:\Users\Zbyszek\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

File C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JIYPR21W\fastbuttonCAZZ4626.htm not found!

File C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\H45MVFYA\10337-rowniez-ukash[1].htm not found!

File C:\Users\Zbyszek\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT not found!

[2012-07-15 22:04:17 | 000,000,000 | ---- | M] () C:\Windows\temp\_avast_\Webshlock.txt : Unable to obtain MD5

Registry entries deleted on Reboot...

AdwCleanerS1.txt

OTL.Txt

[picasso]

ups... nie mogę załączyć pliku z logiem usuwania z p.3, więc wklejam poniżej:

 

Zasady działu + Pomoc forum (link na spodzie forum) objaśniają, że załączniki akceptują tylko rozszerzenie *.TXT, a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku.

 

 

W Google Chrom->Narzędzia->Rozszerzenia nie znalazłem Babylon.., Browser.. i Giant.., więc w tym miejscu ich nie odinstalowałem (chroma nie używam, więc możliwe, że szukam nie tam, gdzie trzeba).

 

Tego rzeczywiście już nie widać w Google Chrome. Być może proces głównej deinstalacji to samoczynnie wyeliminował.

 

 

1. Strona startowa Google Chrome jest pusta. W Opcjach ustaw coś.

 

2. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2861877135-977594196-4211332367-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2012-07-15 14:40:32 | 000,000,879 | ---- | M] () -- C:\user.js

 

Klik w Wykonaj skrypt. Tym razem bez restartu. Logów sprawdzać nie muszę.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Zbyszek\Desktop\ComboFix.exe /uninstall

 

4. Gdy powyższa komenda ukończy, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj katalog C:\Windows\erdnt.

 

5. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[zaki95]

do p.4: AdwCleaner - oprócz logów nic nie znajduję, więc nie zastosowałem Uninstall

do p.5: raport Malwerbytes w załączeniu

 

ad. poprzedniego posta/załącznika - miałem przy wysyłaniu i nadal mam zmienioną nazwę "opornego" załącznika na *.txt, ale zarówno wczoraj, jak i teraz pojawia mi się komunikat: Błąd Nie masz uprawnień do wysyłania tego typu plików;

mbam-log-2012-07-16 (20-39-42).txt

[picasso]

Jako zamknięcie zostały podstawy aktualizacyjne do wykonania: KLIK. Tutaj wykaz z Twojej listy zainstalowanych czym należy się zająć:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin ----> odinstaluj

 

Uwaga poboczna na temat Gadu-Gadu 10. Jest to ciężki potwór, zabiera stanowczo za dużo zasobów systemowych, no i te wstrętne nadmierne reklamy. Sugeruję wypróbowanie przyjemniejszych alternatyw z obsługą sieci Gadu: AQQ, Kadu, WTW, Miranda. Opisy zlokalizowane w artykule: Darmowe komunikatory.

 

 

do p.4: AdwCleaner - oprócz logów nic nie znajduję, więc nie zastosowałem Uninstall

 

Ale ta akcja jest właśnie po to, by usunąć z dysku narzędzie i logi. Nie ma sensu tej aplikacji trzymać na dysku, jest zbyt często aktualizowana i za każdym razem należy ją pobierać ponownie.

 

 

do p.5: raport Malwerbytes w załączeniu

 

Nic szczególnego, to Twój "cukierek" do Office...

 

 

ad. poprzedniego posta/załącznika - miałem przy wysyłaniu i nadal mam zmienioną nazwę "opornego" załącznika na *.txt, ale zarówno wczoraj, jak i teraz pojawia mi się komunikat: Błąd Nie masz uprawnień do wysyłania tego typu plików

 

Wątpię, czy masz prawidłową nazwę. Objaw sugeruje, że nie widzisz rozszerzeń i utworzyłeś podwójne: plik.txt.log. Dla formalności sobie to sprawdź: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Ukrywaj rozszerzenia znanych typów plików (to ma być odznaczone).

 

 

 

.

[zaki95]

Aktualizacje wykonane, mam nadzieję, że właściwie.

 

Gadu-Gadu 10 odinstalowane, alternatywy do przemyślenia na później.

 

AdwCleaner - napisałem nieprecyzyjnie. Nie znajduję aplikacji (tylko logi), więc nie mam do czego zastosować uninstall.

 

...mężczyźni ponoć lubią słodycze...czy odinstalować Malwerbytes?

 

Oczywiście miałaś rację, zmieniłem nazwę na plik.txt.log, czego nie widziałem i nie wiedziałem (może z AdwCleaner jest adekwatnie...).

 

Wydaje się, że temat do zamknięcia.

Bardzo serdecznie dziękuję za pomoc i miło było poznać.

 

p.s.

przepraszam, może miejsce nieodpowiednie, ale zaryzykuję jeszcze jedno pytanie.

Jak sprawdzić 2-letniego laptopa (żony), któremu niby nic nie jest, ale dokuczliwie "muli" przy przeglądaniu internetu?

Pomoce "w realu" nic nie dały.

[picasso]

Temat rozwiązany. Zamykam. Komentarze końcowe:

 

 

AdwCleaner - napisałem nieprecyzyjnie. Nie znajduję aplikacji (tylko logi), więc nie mam do czego zastosować uninstall.

 

Albo albo: pobierz narzędzie ponownie i klik w Uninstall, ręcznie usuń logi nastukane przez narzędzie.

 

 

(może z AdwCleaner jest adekwatnie...)

 

AdwCleaner generuje pliki *.TXT.

 

 

czy odinstalować Malwerbytes?

 

Możesz go sobie zostawić jako skaner na żądanie.

 

 

Jak sprawdzić 2-letniego laptopa (żony), któremu niby nic nie jest, ale dokuczliwie "muli" przy przeglądaniu internetu?

Pomoce "w realu" nic nie dały.

 

Załóż nowy temat, np. w dziale Windows, z logami OTL z tego systemu. Na pierwszy ogień sugeruję: jeśli w tamtym systemie działa jakiś program zabezpieczający / antywirus, w pierwszej kolejności należy go przetestować poprzez całkowitą deinstalację.

 

 

.