Ukash

[przemo22]

Witam, nie znam się tym, ale mój komputer jest zarażony wirusem weelsof. Piszę z tego komputera... obeszłem to tak że podłączyłem modem bez adsl a potem tylko kabelek adsl i jakoś wyszło że działa. I chcę prosić o pomoc aby usunąć ten wirus. Skanuje tym całym OTL - pliki młodsze niż 7 dni.

Proszę, tutaj są logi.

 

Tutaj OTL: http://pastebin.com/2bxLDg9i

Tutaj Extras: http://pastebin.com/0v700rbp

 

Antywirus mam Avast.. ale widze że jako jedyny póki co nie radzi sobie z tym syfem

[przemo22]

Pozbyłem się wirusa przy użyciu oprogramowania Malwarebytes Anti-Malware. Polecam.

[picasso]

To nie jest wirus (brak replikacji), to trojan z klasy "ransomware". Zaprezentuj: raport z MBAM + nowe logi z OTL. A czyszczenie tu na pewno jeszcze na widoku, m.in. ze względu na adware w systemie.

[przemo22]

Tak, racja, Trojan.Ransom.Gen.

 

MBAM = http://pastebin.com/YHVTJH7A

OTL = http://pastebin.com/bukk4SxN

EXTRAS = nie wiem dlaczego ale program mi nie dał extrasu - dobra już wiem - http://pastebin.com/PABcVSSf

 

P.S Czy wysyłająjąc raporty z takich programów mogę się narazić na jakieś niebezpieczeństwo?

 

Odświeżam picasso bo się zagubiło wsród innych postów

[picasso]

Mamy tu jeszcze co czyścić. Są mikro odpadki po infekcji oraz adware. M.in. jedno z nich zagnieździł w przeglądarkach SpeedBit (KLIK) i narobił gnoju w preferencjach przeglądarek.

 

1. Deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, facemoods, StartNow Toolbar.

- Otwórz Google Chrome i w Rozszerzeniach odmontuj: Facemoods, SpeedBit Search Predict.

- Otwórz Firefox i w rozszerzeniach odmontuj: Ask Toolbar, InnoGames Polska Community Toolbar, searchpredict@speedbit.com, StartNow Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Speedbit Search"
FF - prefs.js..browser.search.defaulturl: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
FF - prefs.js..browser.search.order.1: "Speedbit Search"
FF - prefs.js..browser.search.selectedEngine: "Speedbit Search"
FF - prefs.js..browser.startup.homepage: "http://search.speedbit.com/?aff=svd_VA"
FF - prefs.js..keyword.URL: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/fft/fft_1325876216_641586"
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111211&user_guid=283EDA3F935B478D90862DA2D9B45D6A&machine_id=793b33a845c2bb1d809602c98252d60c&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=9b5251e5-8890-44c0-93e4-347aa6dc8184&apn_sauid=819496A9-C99A-467A-AF3F-728EF9987371"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.com.br/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A8691855295&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}"
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://search.speedbit.com/search.aspx?aff=svd_VA&q={searchTerms}"
O2 - BHO: (SearchPredictObj Class) - {389943B0-C3A2-4E69-82CB-8596A84CB3DC} - C:\Program Files\SearchPredict\SearchPredict.dll (SpeedBit Ltd.)
O4 - HKLM..\Run: []  File not found
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\malffw.sys -- (uwksc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Bee!\Dane aplikacji\NVIDIA\HWAccess.sys -- (NVIDIAHWAccess)
DRV - File not found [Kernel | On_Demand | Stopped] -- L:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- L:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- L:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- L:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\pmt_0piot.pad
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\askcom.xml
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\conduit.xml
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\speedbit.xml
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\yahoo-zugo.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\SearchPredict
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3.

 

 

 

.

[przemo22]

http://pastebin.com/EX6wXmM5 - usuwanie otl

http://pastebin.com/s7esNd9j - adwclean

http://pastebin.com/T1iNSgwx - nowy otl

[picasso]

Coś to usuwanie nie takie jak należy. Po pierwsze wpisy usuwane skryptem wróciły (te od SpeedBit, co sugeruje, że to ten program to przywraca), po drugie w Firefox i Google Chrome nadal widoczne rozszerzenia adware. Czy był jakiś problem z deinstalacją?

 

1. Poprawka na w/w. Zamknij przeglądarki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://search.speedbit.com/search.aspx?aff=svd_VA&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "Speedbit Search"
FF - prefs.js..browser.search.defaulturl: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
FF - prefs.js..browser.search.order.1: "Speedbit Search"
FF - prefs.js..browser.search.selectedEngine: "Speedbit Search"
FF - prefs.js..browser.startup.homepage: "http://search.speedbit.com/?aff=svd_VA"
FF - prefs.js..keyword.URL: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
CHR - Extension: SpeedBit Search Predict = C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ledcpigomgblcmofccnacobhmcdkpiea\2.0.2_0\
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"searchpredict@speedbit.com"=-
 
:Files
C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ledcpigomgblcmofccnacobhmcdkpiea
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\extensions\{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3}
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\speedbit.xml

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Nowy log OTL z opcji Skanuj do oceny.

 

 

 

 

.

[przemo22]

Tutaj jeszcze dodatkowo zamieszczam LOG z OTL z w/w skryptu: http://pastebin.com/xQcUD7F0

Cały czas mam w Firefox stronę startową speed bit.

Problem z deinstalacją tych róznych toolbarów nie miałem.

I najnowszy log z OTL: http://pastebin.com/6gvUe3zC

Nie przeszkadza ci że są na pastebin?

Dodatkowo rzucił mi się w oczy wpis:

PRC - [2012-03-08 21:54:13 | 000,092,320 | ---- | M] (Speedbit Ltd.) -- C:\Program Files\Common Files\SpeedBit\SBUpdate\SBUpdate.exe

[przemo22]

Wybacz że robię coś sam ale po prostu odinstaluję ten speed bit - czego mi wcześniej nie kazałeś. - o dziwo : P

OTL po deinstalacji: http://pastebin.com/Zqdg7vd9

Kolejno zdziwiłem się ze OTL mi się zaciął przy skanowaniu pierwszy raz.

Niestety wpis został..

 

P.S czy z ukashem nie da sobie poradzić wpisując po prostu poprawny kod? "iż poprawny kod zaczynia się od ciągu 633781 lub 718 po których następuje 13 cyfr."

 

Uważam że ten speedbit update sobie cały czas sciąga to co wraca - ale ja się na tym nie znam więc czekam na ciebie : P

 

@edit

I jeszcze daje ci w razie czego skan z ccleanera, też coś mówi o tym speed bit.

Nie klikałem napraw czekam na ciebie.

[picasso]

Zasady działu przypominam. Nie podbijaj tematu. Post przypominający zaliczył kosz.

 

 

Wybacz że robię coś sam ale po prostu odinstaluję ten speed bit - czego mi wcześniej nie kazałeś. - o dziwo : P

 

Należy odróżnić adware SearchPredict wstawione przez SpeedBit od samego Speedit. To są dwie różne rzeczy. Stąd też nie podałam do deinstalacji głównej aplikacji mniemając, że jej używasz. Niemniej, widzę że to wraca i możliwe, że nie da się odseparować po prostu SpeedBit od jego adware i będzie to przywracane dopóki Speedbit w ogóle jest w systemie.

 

1. No to wszystko odinstaluj co z tą aplikacją związane (przez Panel sterowania + wtyczki w Firefox i Google Chrome).

 

2. Przy zamkniętym Firefox zapuść w OTL skrypt:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Speedbit Search"
FF - prefs.js..browser.search.defaulturl: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
FF - prefs.js..browser.search.order.1: "Speedbit Search"
FF - prefs.js..browser.search.selectedEngine: "Speedbit Search"
FF - prefs.js..browser.startup.homepage: "http://search.speedbit.com/?aff=svd_VA"
FF - prefs.js..keyword.URL: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=-

 

3. Nowy log OTL z opcji Skanuj.

 

 

Dodatkowo rzucił mi się w oczy wpis: (...) Uważam że ten speedbit update sobie cały czas sciąga to co wraca - ale ja się na tym nie znam więc czekam na ciebie : P

 

To wygląda na proces aktualizatora programu.

 

 

I jeszcze daje ci w razie czego skan z ccleanera, też coś mówi o tym speed bit.

 

CCleaner przedstawia inne elementy SpeedBit, nie to o czym mowa. CCleaner nie skanuje też preferencji Firefox czy Google Chrome.

 

 

P.S czy z ukashem nie da sobie poradzić wpisując po prostu poprawny kod? "iż poprawny kod zaczynia się od ciągu 633781 lub 718 po których następuje 13 cyfr."

 

Na forum to przewijało się. Otóż wielu użytkowników próbowało to przed zgłoszeniem się po pomoc. Kody nie działały, stąd panika i na forum. UKASH jest zresztą w kilku wariantach.

 

 

.

[przemo22]

http://pastebin.com/c2Cd3ELU - to się nie usuwa..

Może odinstalowanie przeglądarki, wyczyszczenie po niej syfu i ponowne zainstalowanie mogłoby pomóc? Albo usunięcie prefs.js ?

[picasso]

SpeedBit już odinstalowany, to może tym razem uda się usunąć to z preferencji.

 

1. Zamknij Firefox. Ponów skrypt:

 

:Processes
killallprocesses
 
:Files
C:\Program Files\Common Files\SpeedBit
C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\jw8hwin4.default\searchplugins\speedbit.xml
C:\WINDOWS\tasks\SBWUpdate*.job
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"searchpredict@speedbit.com"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Speedbit Search"
FF - prefs.js..browser.search.defaulturl: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
FF - prefs.js..browser.search.order.1: "Speedbit Search"
FF - prefs.js..browser.search.selectedEngine: "Speedbit Search"
FF - prefs.js..browser.startup.homepage: "http://search.speedbit.com/?aff=svd_VA"
FF - prefs.js..keyword.URL: "http://search.speedbit.com/search.aspx?aff=svd_VA&q="
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://search.speedbit.com/search.aspx?aff=svd_VA&q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - No CLSID value found.

 

2. Uruchom Firefox. Zrób nowy log OTL z opcji Skanuj.

 

 

 

.

[przemo22]

Tu proszę z usuwania: http://pastebin.com/4HdDRERX

Z tego co widzę już nie mam strony startowej speedbit - tylko domyślną firefox'u.

Tu proszę log: http://pastebin.com/6VEp8yd1

[picasso]

Sprawa zdaje się rozwiązana, wszystko zniknęło od SpeedBit i tym razem brak nawrotu. Na zakończenie:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych do czego zmierzam, to m.in. stara Java prowadzi do infekcji UKASH:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"FileZilla Client" = FileZilla Client 3.5.1
"Netscape Navigator (9.0.0.6)" = Netscape Navigator (9.0.0.6) ----> prehistoria, do deinstalacji
"Opera 11.64.1403" = Opera 11.64

 

4. NetLimiter sypie błędami w Dzienniku zdarzeń i sugerowana deinstalacja:

 

[ NetLimiter 3 Events ]
Error - 2012-07-19 04:02:03 | Computer Name = SPECIAL-XP | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired
 
[ System Events ]
Error - 2012-07-19 09:13:14 | Computer Name = SPECIAL-XP | Source = Service Control Manager | ID = 7022
Description = Usługa NetLimiter 3 Service zawiesiła się podczas uruchamiania.

 

 

PS. Komentarz poboczny na temat Gadu-Gadu 10. Wiemy: ciężki program pożerający zasoby + dręczenie reklamami. Proponuję alternatywę z obsługą sieci Gadu, a można wybierać między tymi: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.