Ukash; zainfekowany komputer

[rezusfifus]

Witam. 24 lipca 2012 około godziny 20 podczas przeglądania internetnu wyskoczył mi na monitorze komunikat który nakazuje mi żebym zapłacił 300zł za "złamanie prawa polskiego" przez Ukash, odpala sie około 15 sekund po włączeniu komputera. Programem OTL przeskanowałem komputer i do postu dołączam logi które otrzymałem. Dysk H w moim komputerze jest to pendrive który był podłączony podczas skanowania

OTL.Txt

Extras.Txt

[picasso]

W systemie niezłe śmietnisko. Odpadki, starsze infekcje, brak aktualizacji ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.param.yahoo-fr: "megaup"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup"
FF - prefs.js..extensions.enabledItems: {2224E955-00E9-4613-A844-CE69FCCAAE91}:3.8.1.4690
FF - prefs.js..extensions.enabledItems: {7AB6D133-2A14-4C11-B3AD-35B1548D38F9}:1.0
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
IE - HKU\S-1-5-21-2000478354-1214440339-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7aff5e5c-22b1-11e1-86da-00508d5b5f70&q={searchTerms}"
IE - HKU\S-1-5-21-2000478354-1214440339-725345543-1003\..\URLSearchHook: {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found
O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\GryAdam\FlashGet universal\ComDlls\bhoCATCH.dll File not found
O2 - BHO: (Winamp Toolbar BHO) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found
O2 - BHO: (NP Helper Class) - {35B8D58C-B0CB-46b0-BA64-05B3804E4E86} - C:\Program Files\Internet Saving Optimizer\3.8.1.4690\NPIEAddOn.dll File not found
O2 - BHO: (Megaupload Toolbar) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (Megaupload Toolbar) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL File not found
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found
O3 - HKU\S-1-5-21-2000478354-1214440339-725345543-1003\..\Toolbar\WebBrowser: (Megaupload Toolbar) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL File not found
O3 - HKU\S-1-5-21-2000478354-1214440339-725345543-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} -  File not found
O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958\termmgr.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [KodakShareButtonApp] C:\Program Files\Kodak\KODAK Share Button App\Listener.exe File not found
O4 - HKU\S-1-5-21-2000478354-1214440339-725345543-1003..\Run: [AbyssWebServer] D:\GryAdam\Abyss Web Server\abyssws.exe File not found
O4 - HKU\S-1-5-21-2000478354-1214440339-725345543-1003..\Run: [AdobeBridge]  File not found
O4 - Startup: C:\Documents and Settings\Dom\Menu Start\Programy\Autostart\Rozmowa.lnk =  File not found
O8 - Extra context menu item: &Download All by FlashGet - D:\GryAdam\FlashGet universal\ComDlls\Bhoall.htm File not found
O8 - Extra context menu item: &Download by FlashGet - D:\GryAdam\FlashGet universal\ComDlls\Bholink.htm File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL File not found
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_32server.exe -- (mi-raysat_3dsmax2011_32)
SRV - [2011-06-26 08:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva120.sys -- (XDva120)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\st3mp28.sys -- (st3mp28)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- c:\huadio.tmp -- (autorun)
DRV - File not found [File_System | On_Demand | Stopped] -- E:\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Dom\USTAWI~1\Temp\ASFWHide -- (ASFWHide)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Amps2prt.sys -- (Amps2prt)
DRV - File not found [Kernel | Auto | Stopped] -- D:\GryAdam\Anti Keylogger Elite\AKEProtect.sys -- (AKEProtect)
 
:Files
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958
C:\Documents and Settings\Dom\Dane aplikacji\hellomoto
C:\Documents and Settings\Dom\Dane aplikacji\ErrorSmart
C:\Documents and Settings\Dom\Dane aplikacji\OpenCandy
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\5p6djy37.default\searchplugins\startsear.xml
C:\Program Files\Mozilla Firefox\extensions\{7AB6D133-2A14-4C11-B3AD-35B1548D38F9}
C:\Program Files\Internet Saving Optimizer
C:\Program Files\Media Access Startup
C:\WINDOWS\tasks\AF6BFF9991847121.job
C:\FOUND.*
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{395AD2D6-DCA7-4906-AFF0-69ED094EF016}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{395AD2D6-DCA7-4906-AFF0-69ED094EF016}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{2224E955-00E9-4613-A844-CE69FCCAAE91}"=-
"{0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Są elementy Avast, ale brak wejścia na liście zainstalowanych. To sugeruje odpadki. Z poziomu Trybu awaryjnego Windows zastosuj specjalizowany usuwacz Avast Uninstall Utility.

 

3. Przez Panel sterowania odinstaluj adware Browsers Protector, CiD Help, StartSearch Toolbar 1.3, vShare.tv plugin 1.3, Winamp Toolbar, wątpliwy reputacją EMCO Malware Destroyer oraz przestarzały program Spybot - Search & Destroy 1.4. W Google Chrome i Firefox powtórz usuwanie StartSearch / vshare.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

 

.

[rezusfifus]

Avasta chciałem kiedyś usunąć ale skubaniec stawiał opór i nie usunął się do końca przez co nie mogłem zainstalować innej wersji. Plik 07262012_095022.txt miał rozszerzenie .log którego nie można dodać w załączniku więc zrobiłem kopie i zmieniłem rozszerzenie. Dzięki bardzo za pomoc. Okno z ukash oczywiście zniknęło.

 

Znalazłem na komputerze jeszcze coś z deamon toolsa, wcześniej w trybie awaryjnym program nie znajdował tego sterownika. Więc przeskanowałem komputer jeszcze raz.

07262012_095022.txt

AdwCleanerS1.txt

GMER.txt

OTL.Txt

[picasso]

Ponowne robienie logów OTL i usuwanie AdwCleaner po zdjęciu DAEMONa bezcelowe, to tylko dla GMER ma znaczenie. Odcinam nadwyżkę i zostawiam tylko najbardziej prawidłowy GMER (po zdjęciu emulacji). Zadania w większości wykonane, będą wymagane poprawki:

 

1. Czy to na pewno log z OTL po:

 

Z poziomu Trybu awaryjnego Windows zastosuj specjalizowany usuwacz Avast Uninstall Utility.

 

Nadal widać serwisy / sterowniki Avast. A jeśli uruchamiałeś narzędzie to czy z poziomu Trybu awaryjnego Windows?

 

2. W Google Chrome ostały się dwa rekordy wtyczkowe StartSearch:

 

CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Ich wycięcie wymaga edycji pliku Preferences podobnie do punktu 3 tutaj: KLIK. Tylko bierz poprawkę na inne nazwy wtyczek i inną ścieżkę Google Chrome na XP:

 

C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2000478354-1214440339-725345543-1003\..\Toolbar\WebBrowser: (no name) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
 
:Files
rd /s /q C:\ComboFix /C
rd /s /q C:\WINDOWS\erdnt /C

 

Klik w Wykonaj skrypt.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[rezusfifus]

Faktycznie odinstalowanie z trybu awaryjnego musiało mi jakoś umknąć.

OTL.Txt

[picasso]

Tym razem sterowniki Avast zeszły. Wszystko zrobione. Końcowe działania czyszczące:

 

1. Przez SHIFT+DEL dokasuj te foldery z dysku:

 

C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software

C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

C:\Documents and Settings\All Users\Dane aplikacji\Eset

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[rezusfifus]

Przeskanowałem i mój wynik jak myślę chyba nie powinien mnie zadowalać

mbam-log-2012-07-27 (23-40-13).txt

[picasso]

Ja się tu spodziewałam całkiem sporo wyników rozpoczynając pracę z systemem, który wyglądał jak w pierwszym poście. To pokłosie niedoczyszczonych śmieci w przeszłości.

 

1. Komentarze do owych wyników: wszystkie rekordy z "Wykrytych kluczy rejestru" + "Wykrytych folderów" to odpadki po adware / rogue i do usunięcia. W "Wykrytych plików" towarzystwo mieszane: malware to ten podrobiony plik HOSTS, katalog Thinstall to fałszywy alarm (KLIK), a za kraki / keygeny w ogóle nie podłożę się. Sumarycznie: usuń wszystko, katalog Thinstall wykończ w całości ręcznie, po tym ponów czyszczenie folderów Przywracania systemu.

 

2. Obowiązkowe podstawowe aktualizacje: KLIK. A roboty tu grube. Oto wyciąg z Twojej listy zainstalowanych:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.4.0 (Full)
"Skype_is1" = Onet.pl - Skype (BETA)

 

Przede wszystkim, system w krytycznym stanie aktualizacji, brak pakietu SP3+IE8 i łat wydanych od roku 2008, a co więcej system jest odcięty od bieżących ważnych aktualizacji. wszystkie Java do zmiecenia i nałożenie jednej najnowszej. Analogicznie z innymi truchłami.

 

3. Na koniec zainstalujesz sobie antywirusa. Pole już zostało tu przeczyszczone pod to działanie.

 

4. Przy punktach 2+3 rysuje się nowy problem, czyli miejsce na dysku. Ostatni odczyt niezbyt spektakularny, a partycja z systemem jeszcze na dodatek preformatowana w awaryjnym archaicznym FAT32:

 

Drive C: | 13.37 Gb Total Space | 2.84 Gb Free Space | 21.26% Space Free | Partition Type: FAT32
Drive D: | 29.90 Gb Total Space | 0.86 Gb Free Space | 2.88% Space Free | Partition Type: NTFS
Drive E: | 31.25 Gb Total Space | 7.04 Gb Free Space | 22.52% Space Free | Partition Type: NTFS
Drive H: | 7.40 Gb Total Space | 4.60 Gb Free Space | 62.08% Space Free | Partition Type: FAT32

 

Poważnie zastanawiałabym się na formatem (w NTFS) i postawieniem ładnego czyściutkiego Windowsa.

 

 

---

PS. Gadu-Gadu 10 = Darmowe komunikatory i alternatywy z obsługą sieci Gadu (WTW | Kadu | Miranda | AQQ).

 

.