Ukash - Zablokowali mi laptopa

[kosmaty69]

Witam.

Mam Laptopa hp 550, XP

Zablokowali mi pc, mam zapłacić 500zł ...

Tutaj raport poniżej.

Nie wiem czemu ale tylko 1 plik textowy znalazło.

Prosze o pomoc, pc mam uruchomionego w trybie awaryjnym z obsługa sieci.

 

EDIT: Proszę, tutaj 2 raporty z mojego konta.

OTL.Txt

Extras.Txt

[picasso]

Nie wiem czemu ale tylko 1 plik textowy znalazło.

 

Nie przeczytałeś dokładnie opisu konfiguracji OTL. Poza tym, logi są zrobione z poziomu złego konta, czyli wbudowanego w system Administratora, a nie konta użytkownika:

 

Computer Name: PC-AE3AFC61F04D | User Name: Administrator | Logged in as Administrator.

 

To konto nawet nie było czynne przed akcją, widać świeży zrzut folderu na dysku. Konta mają różne rejestry i foldery = logi są inne. Dostarczone tu logi w ogóle nie pokazują infekcji. Zaloguj się na właściwe konto i zrób nowe logi z OTL, w tym Extras.

 

EDIT: Nowe logi i widać o wiele więcej:

- Uruchamiałeś także ComboFix, a nie ma o tym ani słowa + nie przedstawiłeś jego raportu (zasady działu o tym mówią). Na przyszłość na temat używania tej aplikacji: KLIK.

- Infekcja na tym koncie dobrze widoczna. W większej ilości. Prócz blokady UKASH jest także innogatunkowy trojan o właściwościach keyloggera. Przypuszczalna droga nabycia: trefna paczka / dodatek do którejś gry...

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-789336058-1682526488-1177238915-1003..\Run: [1ScarÛžFace Crypter] C:\Documents and Settings\PC\Dane aplikacji\serwerek.exe File not found
O4 - HKU\S-1-5-21-789336058-1682526488-1177238915-1003..\Run: [cqahjdm] C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\bfmyqm.exe ()
O4 - HKU\S-1-5-21-789336058-1682526488-1177238915-1003..\Run: [HKCU] C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-789336058-1682526488-1177238915-1003..\Run: [pzwijqqntfeormb] C:\Documents and Settings\All Users\Dane aplikacji\pzwijqqn.exe (Hyundai)
O4 - HKU\S-1-5-21-789336058-1682526488-1177238915-1003..\Run: [svchost] C:\DOCUME~1\PC\USTAWI~1\Temp\serwerek.exe File not found
O4 - Startup: C:\Documents and Settings\PC\Menu Start\Programy\Autostart\yscqe.exe ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-789336058-1682526488-1177238915-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-789336058-1682526488-1177238915-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2704262" 
FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PC\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Files
C:\WINDOWS\system32\install
C:\Documents and Settings\All Users\Dane aplikacji\vuutagievrmqxzs
C:\Documents and Settings\All Users\Dane aplikacji\ucgobfattilfyqg
C:\Documents and Settings\PC\0.7884763007853629.exe
C:\Documents and Settings\PC\Dane aplikacji\Kernel32.exe
C:\Documents and Settings\PC\Dane aplikacji\PClog.dat
C:\Documents and Settings\PC\Dane aplikacji\install
C:\Documents and Settings\PC\Dane aplikacji\PriceGong
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Free Lunch Design TB Toolbar, FreeSoundRecorder Toolbar. Otwórz Google Chrome i w ustawieniach stron startowych wymaż odnośnik do domredi.com.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj (a nie Wykonaj skrypt!).

 

hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS

 

Dołącz log z usuwania OTL z punktu 1, AdwCleaner z punktu 3 oraz log zrobiony przez ComboFix w tamtym podejściu (nie uruchamiaj narzędzia ponownie).

 

 

 

.

[kosmaty69]

Podmieniam loga OTL

AdwCleanerS2.txt

OTL.Txt

[picasso]

Z nieuwagi się pomyliłam. Zadałam zły warunek skanu. Zrób nowy log z OTL na ten warunek:

 

hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS

 

Podmień log w poście powyżej, a ja tu zedytuję swój post i podam co dalej.

 

 

PS. A jeden z logów AdwCleaner uszkodzony, zostawiam tylko ten pełny właściwy.

 

 

 

.

[kosmaty69]

Podmieniłem Logi, a czy ten Log' z Adw jest wporządku ?

[picasso]

Tak, AdwCleaner dobry, mówiłam przecież wyraźnie, że zostawiam prawidłowy log, to ten drugi usunęłam (był urwany i żadnych danych nie przedstawiał). Log z OTL dodany, skan dostosowany ujawnił zgodnie ze spodziewaniami dodatkowy klucz tego trojana logującego. Przechodzimy do kolejnej partii czyszczenia:

 

1. W Google Chrome nadal widać stronę startową domredi.com. Czy jest problem z jej wymazaniem z listy?

 

2. Możesz jeszcze odinstalować zbędny (nieszkodliwy jednak) Akamai NetSession Interface.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{LH2X6AH5-8LT3-RA83-76L7-C6B4FS6ANWPU}]

 

Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z wynikami usuwania. Bardzo krótki = wklej wprost do posta.

 

 

 

.

[kosmaty69]

Korzystam z Opery, strona startowa ustawiona google, nie było problemów

PS. Sory nie zauważyłem i dałem załącznik -,-

Z tego co widze, wszystko w porządku, co dalej ?

usuwanie.txt

[picasso]

Przechodzimy do tej części:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\PC\Pulpit\ComboFix.exe" /uninstall

 

Następnie w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

Korzystam z Opery, strona startowa ustawiona google, nie było problemów

 

Nie wiem czy dobrze rozumiem... Niezależnie od tego którą używasz, wymazałeś stronę z Google Chrome?

 

 

.

[kosmaty69]

Tak w google chrome ustawiłem stronke startową google.pl

Po sprawdzeniu dam raport.

Edit:

 

Trochę tego wykryło, bo aż 18 o.O

 

Proszę raport.

 

W malware na koniec skanowania dałem "usuń zaznaczone"

mbam-log-2012-08-18 (22-23-56).txt

[picasso]

1. Ocena wyników:

- Czy na pewno zastosowałeś opcję Sprzątanie w OTL? MBAM wykrył wyniki w kwarantannie OTL C:\_OTL\MovedFiles, co nie powinno mieć miejsca po Sprzątaniu. Jeśli nadal na dysku istnieje folder C:\_OTL, przez SHIFT+DEL go skasuj.

- PUM.Disabled.SecurityCenter to nic groźnego w sensie dosłownym. Jest to adnotacja, że powiadomienia Centrum zabezpieczeń są wyłączone, a ich rekonfiguracja może nastąpić z różnych przyczyn (infekcja lub działania użytkownika / tweakera).

- Reszta wyników wygląda na fałszywe alarmy ...

 

2. Posiadasz sfatygowanego antywirusa BitDefender Free Edition 2009, który na dodatek jest skanerem na żądanie i nie ma żadnej osłony rezydentnej. Odinstaluj go, następnie z poziomu Trybu awaryjnego popraw specjalizowanych usuwaczem: KLIK. Zainstaluj nowoczesną osłonę antywirusową. Z darmowych propozycji możesz wybierać między:

 

Avast, AVG, COMODO Internet Security, Panda Cloud Antivirus, Microsoft Security Essentials

 

3. Zaktualizuj pozostałe oprogramowanie: KLIK. Konkretnie z Twojej listy chodzi o:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) ----> już jest najnowsza
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-789336058-1682526488-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 19.0.1084.56

 

4. Ponów czyszczenie folderów Przywracania systemu, tym razem ręcznie: KLIK.

 

5. Prewencyjnie zmień hasła logowania w serwisach oraz grach.

 

 

 

PS. Gadu-Gadu 10 też sugeruję wymienić. Jest to powtór zjadający zasoby i dręczący reklamami. Oglądnij alternatywy takie jak WTW, Kadu, Miranda i AQQ. Opisy: KLIK.

 

 

.

[kosmaty69]

Ok, zrobiłem tak jak kazałaś