Atak UKASH

[ktosia]

ja tez bardzo prosze o pomoc! tez zaatakowal ukash. hitman nie zadzialal, probowalam combofixem, ale mam wygenerowany ten plik txt. w miedzyczasie naczytalam sie ze z tym programem trzeba uwazac, wiec zostawilam to i wgralam otl. i tu zalaczam z niego pliki.

 

dzieki za osobny watek i przepraszam

OTL.Txt

Extras.Txt

[picasso]

Skoro używałaś ComboFix i jest z niego log, to należy też go załączyć.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [werdiagcontroller] C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe ()
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {E2958F71-2B50-4864-811E-2F39556414E9}
IE:64bit: - HKLM\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKLM\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=111373&babsrc=SP_ss&mntrId=28776bb00000000000000ceee6a5d67f"
IE - HKCU\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Files
C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634
C:\Users\Agnieszka\AppData\Roaming\hellomoto
C:\Users\Agnieszka\AppData\Local\Temp*.html
C:\Users\Agnieszka\AppData\Local\tmp*
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Premiumplay Codec-C, ScanQuery 1.0 build 129 powered by FIRST SEARCHBAR, Softonic toolbar on IE and Chrome, Pasek narzędzi AOL 5.0.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner oraz log utworzony wtedy przez ComboFix.

 

 

 

.

[ktosia]

Wszystko zadziałało, dzieki piekne! jakies czary;)

 

Jedno tylko nie poszło- po wykonaniu skryptu wystapił błąd zapisu i nie utworzył sie zaden log z wynikami usuwania.

Na penie mam tylko jakis folder nowy movedfiles i jak sie w to wchodzi to jest kolejny folder o dlugiej nazwie z cyferek/literek, albo w ogóle nie da sie na niego kliknac. To chyba ten wirus w takim razie??

Bo ten pendrive troche mi sie psul, wiec jak robilam adwclenera to wpietego mialam innego ( na którym byl adwclener), a chyba nie powinnam? zrobic jeszcze raz adwclenera z tym nie działającym poprzednio?

 

Zalaczam combofix - tylko ze to jest zapis jeszcze przed naprawa.

 

I jeszcze chcialabym zapytac o taka rzecz- na innym forum taka kobietka poleca wszystkim instalacje nowej bezpieczniejszej javy? Czy to jest konieczne/przydatne?

ComboFix.txt

OTL2.Txt

AdwCleanerS2.txt

[picasso]

Zostały tylko poprawki i końcowe skany:

 

1. Nie usunęły się wszystkie pliki-śmieci wyprodukowane przez Gadu-Gadu 10. Niestety czyszczenie nie będzie trwałe. Te śmieci będą produkowane przy każdym uruchamianiu programu ... Zamknij Gadu. Przez SHIFT+DEL skasuj wszystkie pliki o modelu nazwy:

 

C:\Users\Agnieszka\AppData\Local\Temp*.html

 

Przykłady z raportu:

 

[2010-06-04 10:15:38 | 000,002,432 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\TempWDU308.html
[2010-06-03 16:21:40 | 000,002,432 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\TempYN2644.html
[2010-06-03 11:53:48 | 000,002,432 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\TempxW4548.html
[2010-06-02 20:50:49 | 000,002,432 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\TempxJ6424.html
 
etc...

 

Skasuj także te pliki:

 

[2010-05-24 20:57:32 | 000,659,787 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmp085.JPG
[2010-05-24 20:57:31 | 001,050,157 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmp085.0
[2010-04-23 21:43:53 | 000,485,361 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_003[1].2
[2010-04-23 21:43:52 | 000,502,650 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_003[1].1
[2010-04-23 21:43:51 | 000,507,554 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_003[1].JPG
[2010-04-23 21:43:50 | 001,170,301 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_003[1].0
[2010-04-23 21:43:28 | 000,597,230 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_002[1].2
[2010-04-23 21:43:27 | 000,614,239 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_002[1].1
[2010-04-23 21:43:23 | 001,386,858 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_002[1].0
[2010-04-23 21:43:23 | 000,621,006 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\tmpOBRAZ_002[1].JPG

 

2. Skoryguj domyślną wyszukiwarkę Internet Explorer 64-bit. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz z menu opcję Scal. Zgłosi się import do rejestru. Potwierdź.

 

3. Odinstaluj AdwCleaner. Uruchom narzędzie i wybierz opcję Uninstall.

 

4. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

F:\ComboFix.exe /uninstall

 

5. Zrób pełne skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś przedstaw raport z narzędzia.

 

 

Jedno tylko nie poszło- po wykonaniu skryptu wystapił błąd zapisu i nie utworzył sie zaden log z wynikami usuwania. Na penie mam tylko jakis folder nowy movedfiles i jak sie w to wchodzi to jest jakas kolejny folder o dlugiej nazwie z cyferek/literek albo nie da sie na niego kliknac, wiec to chyba ten wirus??

Bo ten pendrive troche mi sie psul, ale myslalam ze dlatego ze stary, wiec jak robilam adwclenera to wpietego mialam innego (bo nie moglam otworzyc adxlenera), a chyba nie powinnam? zrobic jeszcze raz adwclenera z tym podpietym?

 

Co konkretnie dzieje się z tym pendrive? Czy jesteś w stanie z urządzenia przez SHIFT+DEL skasować ten katalog kwarantanny _OTL? Zaś ponawianie skanu w AdwCleaner jest niepotrzebne.

 

 

I jeszcze chcialabym zapytac o taka rzecz- na innym forum taka kobietka poleca wszystkim instalacje nowej bezpieczniejszej javy? Czy to jest konieczne/przydatne?

 

To są podstawy zabezpieczające, które każdy musi tu wykonać przy finalizacji tematu: KLIK. I nie tylko Java. Swoją drogą ... to jest echo moich działań, ale to dobrze, że zaczęto to podpatrywać, bo wcześniej źle się działo i usuwanie infekcji kończyło się na skrypcie + uśmieszku "log czysty".

 

Aktualizacjami zajmiesz się dopiero na końcu.

 

 

 

.

[ktosia]

Ok, wszystko zrobiłam.

 

Niestety nie mogę usunąć tego folderu _OTL z pendriva. Sam pendrive działa normalnie, ale przy probie usuniecia tego folderu pokazuje się przygotowanie do usuniecia, dosc dlugo trwa, potem wszystko sie wylącza i w "moim komputerze" dysk wymienny znika z ekranu. Probowalam go przeskanowac Malwarebytes Anti-Malware i pokazuje ze tam mnostwo plikow tych, ktore kazalas usunac C:\Users\Agnieszka\AppData\Local\Temp*.html, nie wiem czy cos jeszcze ale nie skanowalam bo jakos mulilo. A sam pendirve po wlozeniu pokazuje mi zalecane skanuj i napraw. Co sadzisz?

 

Cała reszta czysta, zostały mi aktualizacje, DZIEKUJE BARDZO!

[picasso]

Niestety nie mogę usunąć tego folderu _OTL z pendriva. Sam pendrive działa normalnie, ale przy probie usuniecia tego folderu pokazuje się przygotowanie do usuniecia, dosc dlugo trwa, potem wszystko sie wylącza i w "moim komputerze" dysk wymienny znika z ekranu.

 

Spróbuj z linii komend Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

rd /s /q X:\_OTL

 

Gdzie X = litera pod jaką widać pendrive w Moim komputerze.

 

 

A sam pendirve po wlozeniu pokazuje mi zalecane skanuj i napraw. Co sadzisz?

 

Czy jest ustawione Bezpieczne usuwanie sprzętu? W Moim komputerze prawoklik na pendrive > Właściwości > Sprzęt > Właściwości > Zmień ustawienia > Zasady > Szybkie usuwanie czy Większa wydajność jest ustawiona? Jeśli Szybkie usuwanie, przełącz na tę drugą opcję.

 

 

zostały mi aktualizacje

 

Punktuję więc z Twojego raportu co ma takie kwalifikacje. Brak Service Pack 1 dla Windows 7, stare Java i Adobe:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Opera 12.00.1467" = Opera 12.00

 

 

Dodatkowa uwaga na temat Gadu-Gadu 10, które tak tu śmieciło plikami, a jest i zasobożerne. Poczytaj o alternatywnych programach z obsługą Gadu. W temacie Darmowe komunikatory popatrz na opisy: WTW, Kadu, Miranda, AQQ.

 

 

 

.

Edytowane 29 Września 2012 przez picasso
29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso