Ukash Attack!

[rumba]

Witam serdecznie,

 

Wczoraj w późnych godzinach popołudniowych nawiedziła mój komputer Polizei, czyli Ukash. Szperałem po stronach internetowych i najlepsze rozwiązania znalazłem u Was. Bardzo proszę o pomoc i dezinfekcję mojego przyjaciela.

Poniżej przesyłam odpowednio pliki otl i Extra.

Z góry dziękuję za pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [secproc_isv] C:\Users\Xiao Yang\AppData\Local\Microsoft\Windows\188\secproc_isv.exe ()
O4 - HKLM..\Run: [browser companion helper] C:\Program Files (x86)\BrowserCompanion\BCHelper.exe (Blabbers Communications LTD)
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll File not found
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Qzu0A0CyBtBzzzytC0B0E0BtDtB0CyDtCtCtN0D0Tzu0CtCzztAtN1L2XzutBtFtCtFtDtFtAtDtC&cr=1764606807"
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {2A9954BD-BF38-4A7E-B094-30D1F3B89F58}
IE:64bit: - HKLM\..\SearchScopes\{2A9954BD-BF38-4A7E-B094-30D1F3B89F58}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Qzu0A0CyBtBzzzytC0B0E0BtDtB0CyDtCtCtN0D0Tzu0CtCzztAtN1L2XzutBtFtCtFtDtFtAtDtC&cr=1764606807"
IE - HKLM\..\SearchScopes\{2A9954BD-BF38-4A7E-B094-30D1F3B89F58}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Qzu0A0CyBtBzzzytC0B0E0BtDtB0CyDtCtCtN0D0Tzu0CtCzztAtN1L2XzutBtFtCtFtDtFtAtDtC&cr=1764606807"
IE - HKCU\..\SearchScopes\{2A9954BD-BF38-4A7E-B094-30D1F3B89F58}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fmtgl&chnl=fmtgl&cd=2XzuyEtN2Y1L1Qzu0A0CyBtBzzzytC0B0E0BtDtB0CyDtCtCtN0D0Tzu0CtCzztAtN1L2XzutBtFtCtFtDtFtAtDtC&cr=1764606807"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/?search={searchTerms}&loc=IB_DS&a=6R8gJUDjBp&i=26"
 
:Files
C:\Users\Xiao Yang\AppData\Local\Microsoft\Windows\188
C:\Users\Xiao Yang\AppData\Roaming\hellomoto
C:\Users\Xiao Yang\AppData\Local\funmoods-speeddial.crx
C:\Users\Xiao Yang\AppData\Local\funmoods.crx
C:\Program Files (x86)\BrowserCompanion
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{4ACBFAF5-5E2D-ACCC-37B1-41CCA81BE923}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{4ACBFAF5-5E2D-ACCC-37B1-41CCA81BE923}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Otwórz Google Chrome, wejdź do Opcji i przeprowadź trzy akcje: deinstalacja rozszerzeń adware Browser Companion Helper + Funmoods, przestawienie strony startowej z start.funmoods.com oraz w zarządzaniu wyszukiwarkami przestawienie domyślnej z Web Search na coś innego (np. Google) po czym usunięcie tej wyszukiwarki z listy.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

 

[rumba]

Dziękuję za szybką odpowiedź.

Przesyłam diagnozę (Stare Otl to txt, które dostałem od Was).

 

Pozdrawiam

AdwCleanerS1.txt

OTL.Txt

[picasso]

Przesyłam diagnozę (Stare Otl to txt, które dostałem od Was).

 

Usuwam ten zbędny załącznik. Po co do licha mi przesyłasz mój własny skrypt, dobrze widoczny w moim poście. Miałeś podać log z usuwania automatycznie generowany podczas usuwania OTL, to całkiem co innego. Już to pomijam w sprawdzaniu, bo widać zaistniałe zmany w skanie OTL.

 

 

1. Drobne poprawki. Na Twojej liście zainstalowanych nie wychwyciłam wcześniej pozycji eBay. Jeśli nie instalowałeś celowo, usuń. Następnie otwórz Notatnik i wklej:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4ACBFAF5-5E2D-ACCC-37B1-41CCA81BE923}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj folder C:\ProgramData\Kaspersky Lab.

 

3. W Dzienniku zdarzeń nagrany błąd WMI numer 10. Napraw: KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

6. Podstawowe aktualizacje do wykonania: KLIK. Tu z Twojej listy zainstalowanych o co mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wersja dla 64-bitowego IE)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30
"{3E171899-0175-47CC-84C4-562ACDD4C021}" = OpenOffice.org 3.3
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla 32-bitowej Opera)

 

To m.in. stara Java jest przyczyną infekcji.

 

 

.

[rumba]

Dziękuję prześlicznie!!! Wszystko hula!

 

Przesyłam wcześniejszy log z usuwania oraz raport z Malwarebytes. Malwar wykrył 2 funmoods, które skasowałem.

 

Serdecznie pozdrawiam

mbam-log-2012-07-20 (19-25-13).txt

log z usuwania.txt

[picasso]

Log z usuwania już nie był mi potrzebny na tym etapie. To co wykrył MBAM to szczątki adware i prawidłowo, że usunięte. Końcowe czynności podałam. Temat rozwiązany, zamykam.

 

 

.