Wirus Ukash

[DzemBItCH]

witam.

Problem z komputerem zaczął się kilka-kilkanaście dni temu. W menedżerze zadań było więcej procesów niż zwykle, i co jakiś czas komputer sam uruchamiał się ponownie. przeskanowałem komputer antywirusem, i problem się nie powtarzał ( aż do dzisiaj) Dzisiaj chciałem uruchomić menedżer zadań, ale "pojawiał się natychmiastowo znikał" Włączyłem mozille, chciałem pobrać program i komputer znowu uruchomił się ponownie. Po uruchomieniu na ekranie ukazało się:

 

http://i47.tinypic.com/2vd2pn8.jpg

 

 

Teraz piszę z trybu awaryjnego, oto logi:

 

 

 

Results of screen317's Security Check version 0.99.54

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.1.1000

Eusing Free Registry Cleaner

Java™ 6 Update 31

Java version out of Date!

Adobe Flash Player 11.4.402.287

Mozilla Firefox (16.0.2)

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

Google Chrome 22.0.1229.79

Google Chrome 22.0.1229.92

Google Chrome 22.0.1229.94

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

gmer gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Są tu aż trzy infekcje, a blokada UKASH to najsłabszy obiekt. Jest tu rootkit ZeroAccess uruchamiany z Kosza, w GMER ukryte moduły widzialne, oraz robak Brontok.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tok-Cirrhatus /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-1575516344-444495117-1414587884-1000\$c18117145c2c218874bbaecd1092bb68 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
netsh winsock reset
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by dokończyć reset Winsock naruszony przez ZeroAccess.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC\Desktop.ini
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\tbythlfa.ktx
C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\komputer\AppData\Local\*Bron*
C:\Users\komputer\AppData\Local\*.exe
C:\Users\komputer\Documents\Documents.exe
C:\Users\komputer\AppData\Roaming\System32
C:\Windows\System32\temp.000
C:\Windows\System32\%APPDATA%
C:\Windows\System32\saves
C:\Windows\System32\logs
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Zniknie blokada UKASH.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook i w oknie wklej:

 

:dir

C:\$Recycle.Bin /s
 
:filefind
services.exe

 

Klik w Look.

 

 

 

.

[DzemBItCH]

wszystko zrobione, system look również dał log:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 22:58 on 06/11/2012 by komputer

Administrator - Elevation successful

 

========== dir ==========

 

C:\$Recycle.Bin - Parameters: "/s"

 

---Files---

None found.

 

C:\$Recycle.Bin\S-1-5-21-1575516344-444495117-1414587884-1000 d--hs-- [21:37 06/11/2012]

desktop.ini --ahs-- 129 bytes [21:37 06/11/2012] [21:37 06/11/2012]

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\_OTL\MovedFiles\11062012_223645\C_Users\komputer\AppData\Local\services.exe --a---- 40928 bytes [12:31 17/10/2012] [20:04 31/03/2009] C27EFAFAD30060E52770C4CDA28D3183

 

-= EOF =-

 

 

PS: po oczyszczaniu mozilli na pulpicie utworzył się katalog " Stare dane programu Firefox " usunąć go normalnie ?

FSS.txt

OTL.Txt

[picasso]

Wszystko pomyślnie usunięte, a Kosz zregenerowany na czysto. Teraz należy naprawić szkody w usługach zrobione przez ZeroAccess.

 

1. Jeszcze przez SHIFT+DEL skasuj ten ukryty plik i folder odpadkowy po Dll-Fixerze:

 

C:\ProgramData\cm-lock

C:\Users\komputer\AppData\Roaming\dll-files.com

 

PS: po oczyszczaniu mozilli na pulpicie utworzył się katalog " Stare dane programu Firefox " usunąć go normalnie ?

 

Tak, ten też możesz usunąć.

 

2. Odbuduj usunięte przez ZeroAccess usługi za pomocą ServicesRepair.

 

3. Po restarcie systemu zrób nowy log z Farbar Service Scanner.

 

 

.

[DzemBItCH]

1 Zrobione z wyjątkiem tego:

C:\ProgramData\cm-lock

bo nie mogłem tego znaleźć.

 

2 Wykonane za pomocą narzędzia od firmy ESET

 

3. W załączniku.

 

 

edit:

 

cm-look znalazłem, nie daje się usunąć bo :

http://oi47.tinypic.com/15qvj2p.jpg

FSS.txt

[picasso]

Usługi pomyślnie odbudowane. Przechodzimy do tej partii zadań:

 

1. W OTL uruchom Sprzątanie, resztę używanych narzędzi usuń ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób skanowanie za pomocą Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile cokolwiek zostanie znalezione.

 

 

cm-look znalazłem, nie daje się usunąć bo

 

To ten plik jest OK. Zostaw go. Wydawał mi się podejrzany, bo ukryty, nie skojarzyłam skrótu cm w nazwie = CodeMeter.

 

 

.

[DzemBItCH]

1.

2.

3. - skan nic nie wykrył.

 

Dzięki za pomoc - odzyskałem prawie 8gb na partycji systemowej ;-)

 

PS: jeśli można zapytać to co to jest ten Code Meter ?

Pozdrawiam

[picasso]

Jesteś za szybko jak na pełny skan Kasperskym. Domyślnie Kaspersky skanuje na ustawieniach ekspres, w konfiguracji zmienia się sekcje skanu.

 

 

Dzięki za pomoc - odzyskałem prawie 8gb na partycji systemowej ;-)

 

Komenda [emptytemp] w skrypcie OTL czyści pliki tymczasowe i Kosz. Przed skryptem:

 

Drive C: | 44.69 Gb Total Space | 1.75 Gb Free Space | 3.91% Space Free | Partition Type: NTFS

 

I po:

 

Drive C: | 44.69 Gb Total Space | 8.13 Gb Free Space | 18.20% Space Free | Partition Type: NTFS

 

To i tak jest bieda z miejscem. Mogą być ciągle problemy ze zbliżaniem się na styk. Trochę za małą partycję masz na Windows 7.

 

 

PS: jeśli można zapytać to co to jest ten Code Meter ?

 

W Twoim logu widać tę usługę:

 

========== Services (SafeList) ==========
 
SRV - [2012-05-18 13:47:00 | 002,370,448 | ---- | M] (WIBU-SYSTEMS AG) [Auto | Running] -- C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)

 

Jest to system zabezpieczeń licencyjnych któregoś oprogramowania: KLIK.

 

 

 

.

[DzemBItCH]

racja, skanowanie nie było pełne, wyniki dam jutro

postaram się też zwiększyć miejsce dysku c

 

Na razie dzięki, jutro dam znać co z Kasperskim

[DzemBItCH]

Witam ponownie.

Mam problemy z tym kasperskim. 3 razy zaczynałem skanowanie, wyszukiwało jakieś infekcje, lecz za każdym razem skanowanie się zawieszało na drobnych plikach. Ostatnim razem zawiesiło się na pliku desktop.ini.

Mogę przeskanować komp innym programem?

[picasso]

Alternatywnie możesz zastosować: Dr. Web CureIt lub Microsoft Safety Scanner.

 

 

 

.

[DzemBItCH]

zastosowałem Dr Web, kilka wirusów znalazło, lecz je usunęło. Usunęło też taką dziwną sprawę, która od kilkunastu dni zaśmiecała mój komputer. Prawie w każdym folderze tworzył się plik .exe o nazwie identycznej do nazwy folderu w której się znajdował.

po kliknięciu na ten plik .exe komputer się zawieszał na kilka sekund i przenosił mnie do " Biblioteki "

 

mam nadzieję że nie będę mieć już żadnych problemów, dziękuję za wszystko i pozdrawiam

[picasso]

Usunęło też taką dziwną sprawę, która od kilkunastu dni zaśmiecała mój komputer. Prawie w każdym folderze tworzył się plik .exe o nazwie identycznej do nazwy folderu w której się znajdował.

po kliknięciu na ten plik .exe komputer się zawieszał na kilka sekund i przenosił mnie do " Biblioteki "

 

To były produkty Brontok, spodziewałam się tego w systemie (logi to zbyt wąski obszar weryfikacji), dlatego właśnie zaleciłam skan antywirusowy na koniec. A tych plików nie wolno było uruchamiać, reinfekcja.

 

Temat rozwiązany. Zamykam.

 

 

.