Wirus Weelsof, problem z blokowaniem przez UKASH

[Barkal]

Bardzo proszę o pomoc w pozbyciu się natręta.. zachowanie analogiczne do pozostałych tematów, przy czym w tym przypadku okno blokady wyskakuje kilkanaście sekund po połączeniu się z siecią. Wzgląd w procesy do menedżera zadań jest możliwy jedynie na samym początku logowania do systemu, później okno jest samoczynnie wyłączane przy każdej próbie odpalenia. Sądze, że jest to jakoś związane z procesem explorer.exe - po jego natychmiastowym wyłączeniu i utracie pulpitu, okno procesów po każdym odpaleniu przestaje natychmiastowo znikać.

Skan avastem wykrył nieco plików być może związanych z tematem i zostały oznaczone jako:

- VBS:Malware-gen

- Win32:AutoRun-BFK [Wrm]

- Java:CVE - 2011-3521-A [Expl]

- Win32:Spyware-gen [spy]

 

W załączniku dorzucam logi.

OTL.Txt

Extras.Txt

[picasso]

Skan avastem wykrył nieco plików być może związanych z tematem i zostały oznaczone jako:

- VBS:Malware-gen

- Win32:AutoRun-BFK [Wrm]

- Java:CVE - 2011-3521-A [Expl]

- Win32:Spyware-gen [spy]

 

Nie została podana najistotniejsza część, czyli ścieżki dostępu.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\pm\Microsoft Shared
C:\Documents and Settings\pm\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\pm\Dane aplikacji\Ymocf
C:\Documents and Settings\pm\Dane aplikacji\Ozrim
C:\Documents and Settings\pm\Dane aplikacji\Bumive
C:\Documents and Settings\pm\Dane aplikacji\Xiud
C:\Documents and Settings\pm\Dane aplikacji\Uqitop
C:\Documents and Settings\pm\Dane aplikacji\Idompy
C:\Documents and Settings\pm\Dane aplikacji\Uftasy
C:\Documents and Settings\pm\Dane aplikacji\Qyuq
C:\Documents and Settings\pm\Dane aplikacji\Ehahop
C:\Documents and Settings\pm\Dane aplikacji\Mozilla\Firefox\Profiles\98tv2c5t.default\searchplugins\askcom.xml
C:\Documents and Settings\pm\Dane aplikacji\Mozilla\Firefox\Profiles\98tv2c5t.default\searchplugins\daemon-search.xml
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"lsass"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"crossriderapp1950@crossrider.com"=-
 
:OTL
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100762&mntrId=bc54669b00000000000090e6bacedd7a"
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=CPUID&o=14654&src=crm&q={searchTerms}&locale=en_EU"
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={4117945B-2230-443A-B3CF-9EAF679EAF3C}&mid=34f0da2488cd47d0b8dc654b1034c05e-e7e0d9ab27b8d8120e0fbee1459a34aeb64c7cf0&lang=pl&ds=st011&pr=sa&d=2012-05-05 15:33:28&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm File not found
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm File not found
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm File not found
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll File not found
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Jest tu zainstalowany Avast na spółkę z Ad-aware. Jeden z ich do deinstalacji i wskazuję na Ad-aware (starsze).

 

3. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Babylon toolbar on IE, DAEMON Tools Toolbar, RewardsArcadeSuite. W Firefox w Dodatkach odinstaluj Babylon, DAEMON Tools Toolbar.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

 

.

[Barkal]

Zrobione, w załączniku rzucam logi oraz pominięte wcześniej ścieżki dostępu zawarte na screenie (nie wiedziałem jak je podesłać).

OTL.Txt

AdwCleanerS1.txt

[picasso]

Należało zapisać log Avast z wynikami, ale już to zostawmy w spokoju. Log z OTL tym razem źle wykonany, ustawiłeś Rejestr na Wszystko, a miało Użyj filtrowania. Zadania wprawdzie wykonane, ale pojawiło się nowe adware v9, wcześniej tego nie było i wygląda to na co dopiero zainstalowane ... Ponadto, AdwCleaner nie ruszył preferencji Firefox, a te są zabrudzone.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\WINDOWS\tasks\Ad-Aware Update*.job
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST31000528AS_9VP35JKP____9VP35JKP&ts=1350395749"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST31000528AS_9VP35JKP____9VP35JKP&ts=1350395749"
IE - HKU\S-1-5-21-725345543-1085031214-682003330-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
DRV - [2010-05-04 00:26:07 | 000,093,360 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. W Dodaj / Usuń programy sprawdź czy jest wpis związany z adware v9 (pod nazwą Deinstalator strony v9 czy v9 Homepage Tool) i to odinstaluj.

 

3. Wykonaj reset preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i przesuń na Pulpit ten plik:

 

C:\Documents and Settings\pm\Dane aplikacji\Mozilla\Firefox\Profiles\98tv2c5t.default\prefs.js

 

Następnie uruchom Firefox, co utworzy nowy czysty prefs.js. Ręcznie ustaw opcje typu strona startowa, przeinstaluj używane rozszerzenia.

 

4. Skoryguj wyszukiwarki Internet Explorer. Opcje internetowe > Programy > Zarządzaj dodatkami > Dostawcy wyszukiwania > doinstaluj wybraną maszynę wyszukującą.

 

5. Zrób nowy log OTL, ale go ogranicz: tylko opcje Rejestr + Sterowniki ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików nas Żadne, klik w Skanuj.

 

 

.

[Barkal]

Pojawiają się problemy..Wykonałem prawidłowo skrypt, jednakże mam problem ze wstawieniem go do załącznika przez komunikat - "Błąd - Nie masz uprawnień do wysyłania tego typu plików" .

Dalej, w oknie dodaj/usuń programy nie znalazłem żadnego programu związanego z v9.

Rzecz z punktu 4 - okno "dostawcy wyszukiwania" jest puste, nie ma możliwości (lub nie wiem jak to uczynić) aby cokolwiek zaznaczyć/doinstalować.

Wysyłam w załączniku log OTL z punktu 5.

OTL.Txt

[picasso]

Wykonałem prawidłowo skrypt, jednakże mam problem ze wstawieniem go do załącznika przez komunikat - "Błąd - Nie masz uprawnień do wysyłania tego typu plików" .

 

Wyjaśniają to zasady działu + Pomoc forum (link na spodzie). Załączniki akceptują tylko rozszerzenie *.TXT, a próbujesz wstawiać *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. O ten log z usuwania nie prosiłam, darujmy go sobie.

 

 

zecz z punktu 4 - okno "dostawcy wyszukiwania" jest puste, nie ma możliwości (lub nie wiem jak to uczynić) aby cokolwiek zaznaczyć/doinstalować.

 

Oczywiście, że jest puste, właśnie dlatego dostałeś instrukcję doinstalowania wybranego dostawcy. Na spodzie w lewym dolnym narożniku jest opcja "Znajdź więcej dostawców wyszukiwania ...". Po doinstalowaniu określonej wyszukiwarki zrób na wszelki wypadek nowy log z OTL na warunkach: tylko opcja Rejestr na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików nas Żadne, klik w Skanuj.

 

 

 

.

[Barkal]

Zrobione

OTL.Txt

[picasso]

Wykonane. Dostawca wyszukiwania uzupełnił się w kluczu bieżącego użytkownika. Każde nowo zakładane konto będzie miało jednak domyślnie czyste okno dostawców w IE i trzeba będzie ręcznie sobie ich na każdym nowym koncie uzupełnić. Kolejne zadania do wykonania:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

 

 

[Barkal]

Zrobione, przy okazji skan wykrył intruza. Przesyłam w załączniku raport.

mbam-log-2012-10-16 (23-04-45).txt

[picasso]

1. MBAM wykrył instalator CoreTemp jako nośnik adware. Nie wiem co o tym myśleć, bo nie przypominam sobie, by program instalował jakieś śmieci. A że to tylko instalator, żadna strata, gdy go usuniesz.

 

2. Na koniec zaktualizuj poniżej wyliczone aplikacje: KLIK. Log notuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź wersję
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Google Chrome" = Google Chrome
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

 

PS. Gadu-Gadu 10 to ciężki program, konsumuje dużo zasobów. Sugeruję rozważenie alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

.

[Barkal]

Dziękuję za pomoc, pierwszy raz trafiłem na tak kosmicznie profesjonalną i sprawną pomoc. ;]