Problem Ukash - Infekcja Weelsof

[termiator]

WItam.

 

Podaję logi:

 

OTL.Txt

Extras.Txt

 

Btw. sry za dużą wagę plików, nie wiem od czego to zależy ; x

[picasso]

Tu już chyba infekcja była czymś usuwana, wpis pusty. System i tak jednak wymaga czyszczenia, brud adware.

 

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, My Web Search (Smiley Central), RelevantKnowledge (ten środkowy wygląda na pusty wpis). Przy okazji od razu zbędniki Akamai NetSession Interface + VAIO Marketing Tools.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNman000&ptb=m3X3jMBD8613WA6SUIf8Hw&ind=2011062714&ptnrS=ZNman000&si=&n=77de61ba&psa=&st=sb&searchfor={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=767e97890000000000000022fbce1589"
IE - HKCU\..\SearchScopes\{33524C00-63FB-43DB-A6BF-0A4E14B24649}: "URL" = "http://www.basicscan.com/?prt=BscscnPB&keywords={searchTerms}"
IE - HKCU\..\SearchScopes\{40341D94-B4A7-47AF-A39B-31B6D78B32B3}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=kw&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYFHPL&apn_uid=8DA19134-32C2-445F-B29D-AC872979EFF2&apn_sauid=F8629708-B3CC-47D4-A2EC-4F534FE187AD"
IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNman000&ptb=m3X3jMBD8613WA6SUIf8Hw&ind=2011062714&ptnrS=ZNman000&si=&n=77de61ba&psa=&st=sb&searchfor={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={AFFA1D01-2EAC-4C8A-A2E6-A222D7AC3402}&mid=50c3661a3ddc47d18513d16df8dbf78b-18d0f98cef245982d84466ff83628b502afea4bb&lang=pl&ds=is015&pr=sa&d=2012-01-25 09:26:46&v=10.0.0.7&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
IE - HKCU\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - SOFTWARE\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMyWebS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - !{7f2104b6-dea5-46ff-a9b4-f874ae7b97e7} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{7f2104b6-dea5-46ff-a9b4-f874ae7b97e7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~2\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w /h File not found
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\PROGRA~2\MYWEBS~1\bar\1.bin\mwsoemon.exe File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKCU..\Run: [hadopied] C:\Users\Rodzice\AppData\Roaming\hadopied.exe.exe File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
 
:Files
C:\Windows\SysWow64\qamzfigzjyo.exe
C:\ProgramData\rqqlvakqdcribpq
C:\ProgramData\oyuqcvmllpmdcsi
C:\ProgramData\eea560c129f34121d8d83cc1b7068f25_c
C:\Program Files (x86)\Common Files\ApnToolbarInstaller.exe
C:\Program Files (x86)\Common Files\ApnStub.exe
C:\ProgramData\Premium
C:\ProgramData\InstallMate
C:\Users\Rodzice\AppData\Local\Temp*.html
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"m3ffxtbr@mywebsearch.com"=-
"{6E19037A-12E3-4295-8915-ED48BC341614}"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3.

 

 

 

Btw. sry za dużą wagę plików, nie wiem od czego to zależy ; x

 

Dużo wpisów niedomyślnych, dużo plików utworzonych w podanym zakresie czasowym. Po w/w czyszczeniu spadnie waga plików.

 

.

[termiator]

Dodaję logi:

 

OTL.Txt

AdwCleanerS3.txt

[picasso]

Nie wygląda byś w ogóle wykonał punkt 1, bo w logu z AdwCleaner są nagrane jako usuwane trzy wejścia z Uninstall, których to nie miało prawa być po wykonaniu punktu 1, a poza tym nadal pracuje w tle Akamai i VAIO Marketing Tools. Nie dodałeś loga z wynikami usuwania OTL z punktu 2, choć to już sobie darujemy, gdyż widać w nowym skanie OTL pozytywne zmiany i tylko poprawka będzie wymagana. Log z OTL został jednak najwyraźniej zrobiony przed użyciem AdwCleaner, gdyż jest tu widzialnych zbyt dużo wpisów, które ... usuwał AdwCleaner. Jeśli zadaję określoną kolejność, jest ona ścisła i nie można sobie przestawiać punktów. Proszę o wykonanie tych akcji:

 

1. Jak mówię, odinstaluj zbędniki: Akamai NetSession Interface + VAIO Marketing Tools.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found
[2012/07/17 06:43:21 | 000,000,000 | ---D | C] -- C:\ProgramData\oyuqcvmllpmdcsi

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[termiator]

Tzn. mi te programy nie przeszkadzają. Wszystko mam w normie.

 

Laptopa mam od 3 lat i nic nie wyskakiwało od tych programów ; )

 

Dziękuję za pomoc.

[picasso]

Tu nie chodzi o to czy Ci "przeszkadzają", tylko o zbędność. Ja też mogę mieć ubrane dwie pary skarpet, przeszkadzać mi nie będzie, ale definitywna nadwyżka. I prosiłam o skan z OTL po wykonaniu w/w czynności. Tu wcale nie koniec akcji, tylko czekam na potwierdzający log.

 

 

[termiator]

@Tak jak obiecałem, edytuję posta.

 

Log z OTL:

OTL.Txt

[picasso]

OK, możemy kończyć:

 

1. OTL zgłasza obecność Google Chrome 19.0.1084.56, ale brak takiego wejścia na liście zainstalowanych, co sugeruje szczątki na dysku. Przez SHIFT+DEL skasuj folder:

 

C:\Users\Rodzice\AppData\Local\Google

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i skasuj klucze:

 

HKEY_CURRENT_USER\Software\Google

HKEY_LOCAL_MACHINE\SOFTWARE\Google

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport.

 

5. Wykonaj aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi tu konkretnie chodzi, to m.in. przestarzała Java jest przyczyną tej infekcji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera)

 

6. Dodatkowo, Dziennik zdarzeń notuje niezgodny sterownik:

 

Error - 7/17/2012 1:08:28 AM | Computer Name = Rodzice-VAIO | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \SystemRoot\SysWow64\drivers\libusb0.sys zostało
 zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
 w celu uzyskania zgodnej wersji sterownika.

 

Jest zainstalowana wersja LibUSB-Win32-0.1.10.1. Za stara i niekompatybilna z Windows x64. Na stronie domowej (KLIK) jest napisane:

 

"Vista/7/2008/2008R2 64 bit are supported from version 1.2.0.0 since a Microsoft KMCS accepted digital signature is embedded in the kernel driver libusb0.sys. "

 

 

 

PS. Gadu-Gadu 10 to ciężki program konsumujący dużo zasobów systemowych, podstawiający reklamy, i to on także był odpowiedzialny za namnożenie śmieci na dysku w postaci ogłuszającej liczby plików C:\Users\Rodzice\AppData\Local\Temp*.html. Sugeruję obejrzenie lżejszych przyjemniejszych alternatyw z obsługą sieci Gadu: AQQ, Kadu, WTW, Miranda. Opisy w artykule Darmowe komunikatory.

 

 

.

[termiator]

Akurat z LibUSB wiem bo sam instalowałem taką wersję na potrzeby programowania do gry (joystick)

 

MBAM wykrył ponad 19 zagrożeń!:

 

mbam-log-2012-07-22 (11-37-27).txt

 

Java zaktualizowana.

 

@Edit po dezynfekcji nie wykrył żadnego zagrożenia.

[picasso]

Wszystko co wykrył MBAM to albo adware albo instalatory będące nośnikiem adware. Już usunąłeś wszystko, czyli OK. Powtórz czyszczenie folderów Przywracania systemu. Końcowe zalecenia aktualizacyjne podałam. Temat rozwiązany, daj sygnał do zamknięcia.

 

 

.

[termiator]

daję sygnał.

 

Close topic, please.

 

Serdecznie dzięki za pomoc ; )