Skocz do zawartości

Komputer zablokowany przez Ukash, Weelsof


Rekomendowane odpowiedzi

Tak jak w temacie, mam nadzieje, że wszystko zrobiłem zgodnie z regulaminem, jestem tutaj pierwszy raz.

Piszę z trybu awaryjnego swojego laptopa (WinXP SP2, Lenovo IBM ThinkPad T43). Tak właśnie kończy się śmiganie bez antywirusa. Przy okazji pytanie, czy jeżeli zgram na swojego pendrive pliki z trybu awaryjnego będą one nadal aktywne, działające i niezainfekowane? Jeżeli tak, to walę format i nie będziemy bawić się w skrypty, i tak miałem go robić. Załączam niezbędne pliki. I proszę o dokładne instrukcje, bo jestem zielony w temacie. Ten wirus okupowy zaskoczył mnie gdy ściągnąłem cennik poczty polskie w pdfie, tak, też jestem w szoku.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z OTL zrobiłeś z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: REDSON | User Name: Administrator | Logged in as Administrator.

 

To ma ogromne znaczenie dla wyglądu raportów, gdyż rejestry i foldery kont są różne. Są tu najwyraźniej w systemie dwa inne konta: Radek + Tata. Oba zdają się być zainfekowane, gdyż infekcja umieściła katalogi w folderach obu kont.

 

 

Przy okazji pytanie, czy jeżeli zgram na swojego pendrive pliki z trybu awaryjnego będą one nadal aktywne, działające i niezainfekowane? Jeżeli tak, to walę format i nie będziemy bawić się w skrypty, i tak miałem go robić.

 

To nie jest wirus, nie replikuje się i "nie przeskakuje" po urządzeniach. Poza tym, to kwestia jednego wpisu startowego i format na to to przesada. Format możesz sobie robić z innych powodów, ale nie dla takiego banału ... Podaję instrukcje usuwające, bo czyż nie wygodniej kopiować dane przed formatem na odblokowanym systemie? Za to Twój pendrive jest prawdopodobnie nośnikiem innej infekcji, w systemie bowiem jest również klasyczna infekcja z USB. Formatowanie w tej sytuacji może się sprowadzić do roboty głupiego i reinfekcji systemu z pendrive zaraz po formacie.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found
O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found
O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found
O4 - HKLM..\Run: [TapiSysprep] C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663\TapiSysprep.exe File not found
O4 - HKLM..\Run: [WcnEapAuthProxy] C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239\WcnEapAuthProxy.exe ()
O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe ()
O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [EXPLORER.EXE] EXPLORER.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-21-1343024091-706699826-725345543-500..\Run: [wsctf.exe] wsctf.exe File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - EXPLORER.EXE (Microsoft Corporation)
 
:Files
[override]
C:\WINDOWS\system32\EXPLORER.EXE
[stopoverride]
C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239
C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663
C:\Documents and Settings\Radek\Dane aplikacji\hellomoto
C:\Documents and Settings\Tata\Dane aplikacji\hellomoto
C:\WINDOWS\System32\optyhww1.dll
C:\WINDOWS\System32\optyhww0.dll
autorun.inf /alldrives
d1vmq.exe /alldrives
D:\AUTORUN.FCB
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Loguj się na właściwe konto.

 

2. Przez Panel sterowania odinstaluj nośnik adware LiveVDO plugin 1.3. Popraw w AdwCleaner opcją Delete. Z tego działania powstanie log na dysku C.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + przy podpiętym pendrive USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2.

 

 

 

.

Odnośnik do komentarza

Ok, format na pewno trwałby krócej (niż czekanie na odpowiedź), dlatego się chciałem na niego zdecydować, no i jest jeszcze kilka mankamentów. Jeżdżę bez antywirusów od kilku lat i pewnie nie tylko mój pendrive jest nośnikiem wirusów, po za tym lata po różnych kompach i być może mógł się chłopak zarazić gdzie indziej, ale to mało prawpodobne. Pytanie: czy antywirus ustrzegł by mnie przed tym syfem czy tak czy siak wpadłaby blokada? sposób w jaki antywirus zmula wszystko mnie strasznie denerwował, dlatego ich w ogóle nie mam. To moja pierwsza taka pierdoła od 4 lat.

 

Załączam logi:

Log z usuwania OTL nie chce się załączyć z powodu braku uprawnień. Mimo wagi nie całych 9KB. Ani w opcji zaawansowanej, ani w opcji zwykłej. Wrzuciłbym to na serwer i podał, ale nie wiem czy to bezpieczne i zgodne z regulaminem.

 

może taka forma będzie Ci odpowiadać:

 

 

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DrvIcon deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ORAHSSSessionManager deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TapiSysprep deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WcnEapAuthProxy deleted successfully.

File C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239\WcnEapAuthProxy.exe not found.

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully.

C:\WINDOWS\system32\urretnd.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\EXPLORER.EXE deleted successfully.

EXPLORER.EXE moved successfully.

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:EXPLORER.EXE deleted successfully.

C:\WINDOWS\System32\EXPLORER.EXE moved successfully.

========== FILES ==========

File\Folder C:\WINDOWS\system32\EXPLORER.EXE not found.

C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239 folder moved successfully.

C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663 folder moved successfully.

C:\Documents and Settings\Radek\Dane aplikacji\hellomoto folder moved successfully.

C:\Documents and Settings\Tata\Dane aplikacji\hellomoto folder moved successfully.

C:\WINDOWS\System32\optyhww1.dll moved successfully.

C:\WINDOWS\System32\optyhww0.dll moved successfully.

C:\autorun.inf moved successfully.

D:\autorun.inf moved successfully.

G:\AutoRun.inf moved successfully.

C:\d1vmq.exe moved successfully.

D:\d1vmq.exe moved successfully.

G:\d1vmq.exe moved successfully.

D:\AUTORUN.FCB moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 32768 bytes

->Temporary Internet Files folder emptied: 69383 bytes

->FireFox cache emptied: 25585164 bytes

->Flash cache emptied: 456 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Radek

->Temp folder emptied: 31657368 bytes

->Temporary Internet Files folder emptied: 14744720 bytes

->Java cache emptied: 320830 bytes

->FireFox cache emptied: 55156168 bytes

->Flash cache emptied: 834 bytes

 

User: Tata

->Temp folder emptied: 2350655 bytes

->Temporary Internet Files folder emptied: 251704 bytes

->Java cache emptied: 39720 bytes

->FireFox cache emptied: 100111141 bytes

->Flash cache emptied: 8467 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2675748 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 65536 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 222,00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 07242012_150715

 

Files\Folders moved on Reboot...

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

 

To log z usuwania OTL.

 

Skanowanie OTL po usunięciu jest w załączniku

Dorzucam dla pewności UsbFix po Listening.

AdwCleanerS1.txt

OTL.Txt

UsbFix.txt

Odnośnik do komentarza
Log z usuwania OTL nie chce się załączyć z powodu braku uprawnień. Mimo wagi nie całych 9KB. Ani w opcji zaawansowanej, ani w opcji zwykłej. Wrzuciłbym to na serwer i podał, ale nie wiem czy to bezpieczne i zgodne z regulaminem.

 

Pomoc forum + zasady działu objaśniają, że załączniki akceptują tylko format *.TXT a to jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. I nie obramowuj tego tagiem CODE.

 

 


Zadania skryptowe pomyślnie wykonane, AdwCleaner też swoje zrobił. Logowanie na inne konto ujawniło kolejne wpisy do czyszczenia. Ponadto, log z USBFix w ogóle nie pokazuje zawartości tego urządzenia zmapowanego jako G:

 

G:\ -> Removable drive # 4 Gb (629 Mb free - 16%) [TOSHIBA] # FAT32

 

 

1. Poprawka na wpisy na drugim koncie. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1343024091-706699826-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=3d18fd7a-4d11-11e1-9d6e-00166fbe56d0&q="
[2012-02-01 22:13:56 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\tlshitbw.default\searchplugins\startsear.xml
O4 - HKU\S-1-5-21-1343024091-706699826-725345543-1003..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe File not found
O4 - HKU\S-1-5-21-1343024091-706699826-725345543-1003..\Run: [wsctf.exe] wsctf.exe File not found
O4 - HKLM..\RunOnce: []  File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Przedstaw log z usuwania, wklej go do posta, bo nie jest długi.

 

2. Pobierz dane o zawartości pendrive. Zakładam, że jest ciągle pod literą G, w przeciwnym przypadku dostosuj liternictwo. Start > Uruchom > cmd i wpisz komendę: dir /a G:\ >C:\log.txt. Przedstaw wynikowy log.txt.

 

 

 

.

Odnośnik do komentarza

ok, log "krótki"

 

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{08C06D61-F1F3-4799-86F8-BE1A89362C85} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\ deleted successfully.

Prefs.js: "Web Search" removed from browser.search.defaultengine

Prefs.js: "Web Search" removed from browser.search.defaultenginename

Prefs.js: "Web Search" removed from browser.search.order.1

Prefs.js: "http://startsear.ch/?aff=2&src=sp&cf=3d18fd7a-4d11-11e1-9d6e-00166fbe56d0&q=" removed from keyword.URL

C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\tlshitbw.default\searchplugins\startsear.xml moved successfully.

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

 

OTL by OldTimer - Version 3.2.54.0 log created on 07262012_011955

 

 

log z USB masz dołączony.

log.txt

Odnośnik do komentarza

Log z USBFix nie wykazuje, by na urządzeniu G było coś jawnie szkodliwego. Prewencyjnie przez SHIFT+DEL skasuj Kosz urządzenia G:\RECYCLER. I kończymy czyszczenie jako takie:

 

1. Zabezpiecz się przez tym typem infekcji z autorun.inf. W Panda USB Vaccine zimmunizuj system (Computer Vaccination) jak i przenośne urządzenie (USB Vaccination).

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + odinstaluj USBFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
  • 3 tygodnie później...

Hmmm, skan w MBAM pokazuje wyniki, które świadczą tak jakby o ... reinfekcji systemu z nośnika USB, bo to już było tu usuwane. Czy na pewno sprawdzaliśmy właściwy USB wtedy, nie było nic innego podpinanego? Czy przeprowadziłeś zabezpieczenia w Pandzie?

 

1. Wszystko do usunięcia z wyjątkiem tych dwóch (fałszywe alarmy):

 

C:\Program Files\ALLPlayer\Plugins\Scripter's Spectrum.svp (Trojan.Downloader) -> Nie wykonano akcji.

C:\WINDOWS\system32\dllcache\iexplore.exe (Trojan.FakeMS) -> Nie wykonano akcji.

 

2. W związku z zaskoczeniem w skanie proszę jednak o nowe logi OTL z opcji Skanuj + USBFix z opcji Listing. Nie był sprawdzany też GMER.

 

 

.

Odnośnik do komentarza

Wyślij te pliki na speedyshare.com i podaj tu linka. Zgłoszę to do Malwarebytes.

 

C:\Program Files\ALLPlayer\Plugins\Scripter's Spectrum.svp (Trojan.Downloader) -> Nie wykonano akcji.
C:\WINDOWS\system32\dllcache\iexplore.exe (Trojan.FakeMS) -> Nie wykonano akcji.

Edytowane przez picasso
20.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...