Wirus ukash + problem z odinstalowaniem Deamon Tool'a

[ml39882]

Cześć, z tego co widzę po innych wątkach to mój problem jest dosyc standardowy, policja zablokowala twoj komputer itd. w załączniku wszystkie potrzebne logi do mojej wersji systemu.

 

Poniżej kilka szczegółów które mogą być istotne z tego co przeczytałem w sekcji obowiązkowych rzeczy przed zgłoszeniem problemu:

 

- moj system to Windows XP 32-bit

- skan wykonałem w trybie awaryjnym, w normalnym odpala mi się ekran z ukashem - wątek również zakladam z trybu awaryjnego

- mialem deamon toola ktorego usunąłem manualnie, nastepnie pobralem SPTDinst ale nie wykrył mi nic (uninstall było wyszarzone), wcisnąłem install i zrestartowałem kompa. Nastepnie GMER wypluł mi dużo wierszy zaczynających się od SPTD więc pomyślałem, że czegoś nie usunąłem - sprawdziłem ponownie SPTDinst i znów nic nie wykrył, na wszelki wypadek pobrałem i odpaliłem jeszcze defoggera - skan ktory załączam jest skanem GMER i OTL po odpaleniu defoggera i znow widzę tam rzeczy zaczynające się od SPTD - chcialem jeszcze dorzucic log z defoggera, ale widzę, że nie mam uprawnień zeby to zrobić

- i ostatnia rzecz, w GMER nie pokazywalo mi się "kopiuj" więc zgodnie z Waszą poradą ściągnąłem ResizeEnableRunner i jakoś się udało po paru kombinacjach

 

Mam nadzieję, że nic istotnego nie pominąłem, z góry dzięki za pomoc:)

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

- moj system to Windows XP 32-bit

- skan wykonałem w trybie awaryjnym, w normalnym odpala mi się ekran z ukashem - wątek również zakladam z trybu awaryjnego

 

Te dane pokazuje nagłówek raportu OTL.

 

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
 
(...)
 
Computer Name: LENOVO-2F64443F | User Name: Marcin | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: All users

 

- mialem deamon toola ktorego usunąłem manualnie, nastepnie pobralem SPTDinst ale nie wykrył mi nic (uninstall było wyszarzone), wcisnąłem install i zrestartowałem kompa. Nastepnie GMER wypluł mi dużo wierszy zaczynających się od SPTD więc pomyślałem, że czegoś nie usunąłem - sprawdziłem ponownie SPTDinst i znów nic nie wykrył, na wszelki wypadek pobrałem i odpaliłem jeszcze defoggera - skan ktory załączam jest skanem GMER i OTL po odpaleniu defoggera i znow widzę tam rzeczy zaczynające się od SPTD - chcialem jeszcze dorzucic log z defoggera, ale widzę, że nie mam uprawnień zeby to zrobić

 

To o co nam chodzi z GMER to brak czynnego SPTD (czyli hooków tego sterownika). A to co Ty opisujesz to inny typ wpisów, statyczny odczyt z rejestru. Po usunięciu sterownika SPTD zawsze zostaje w rejestrze odpadkowy klucz SPTD. Obecność tego klucza odpowiada temu odczytowi z Twojego raportu:

 

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)

 

Klucz ten jest zablokowany przez uprawnienia, dlatego widać go w GMER. W ogłoszeniu jest nawet podane jak wykończyć taki klucz dla "kosmetyki".

 

 

---

1. Na początek pozbądź się szczątków nieprawidłowo odinstalowanego Symantec. Zastosuj Norton Removal Tool.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1006..\Run: [tddgaxedwwmatec] C:\Documents and Settings\All Users\Dane aplikacji\tddgaxed.exe ()
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Marcin\Pulpit\PartyPoker.lnk File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Marcin\Pulpit\PartyPoker.lnk File not found
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab" (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\PsaSrv.exe -- (PsaSrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [File_System | Boot | Stopped] -- System32\drivers\ANCSQ.sys -- (ANCSQ)
[2012-11-11 17:43:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marcin\Pulpit\SpyHunter
[2012-07-31 16:30:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\sqxoiomlwrfzeax
[2012-07-31 16:30:30 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\vitfxtkqoekazbf
[2012-07-31 16:30:23 | 000,061,440 | ---- | C] () -- C:\Documents and Settings\Marcin\ms.exe
[2012-01-20 22:19:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

3. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, eBay Icon, pdfforge Toolbar v6.2, vShare Plugin oraz niepełnosprawny skaner Norton Security Scan (to pewnie też była instalacja sponsorowana). Otwórz Google Chrome i w Rozszerzeniach odinstaluj Click 2 Save (rozszerzenie znane jako instalacja adware).

 

4. Jest tu archaiczny Firefox 3.6.28, którego nie warto czyścić dokładnie z adware, bo wersja przestarzała i niewspierana. Jeśli coś z niego chcesz ocalić, za pomocą MozBackup zrób kopię zapasową zakładek i haseł (i nic więcej). Następnie odinstaluj tę staroć, zaznaczając przy deinstalacji usuwanie plików użytkownika.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[ml39882]

Dzięki wielkie za skrypt i za dokształcenie w teorii - ukash zlikwidowany!

 

W załączniku raport z OTL oraz z AdwCleanera.

 

Mam jeszcze jedno pytanie, czy jeśli przegrywalem jakieś pliki z tego zainfekowanego ukashem komputera na inny komputer to jest szansa, że tamten jest jakoś bardziej narażony na złapanie czegoś podobnego?

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wymagane drobne poprawki i usunięcie szczątków Firefox.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-21-3328985386-3437638016-1658154212-1006\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-21-3328985386-3437638016-1658154212-1007\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Files
C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla
 
:OTL
O2 - BHO: (CNisExtBho Class) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll File not found
O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll File not found
O3 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1006\..\Toolbar\ShellBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1006\..\Toolbar\WebBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll File not found
O3 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1007\..\Toolbar\WebBrowser: (Norton Internet Security) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll File not found
O3 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1007\..\Toolbar\WebBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll File not found
O4 - HKU\S-1-5-21-3328985386-3437638016-1658154212-1007..\RunOnce: [supportdir] cmd /c "rmdir /q /s "C:\DOCUME~1\WŁAŚCI~1\USTAWI~1\Temp\{1A07F627-0F8F-43EE-B667-38908DF85911}"" File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy, już ostatni, log OTL z opcji Skanuj (bez Extras).

 

 

Mam jeszcze jedno pytanie, czy jeśli przegrywalem jakieś pliki z tego zainfekowanego ukashem komputera na inny komputer to jest szansa, że tamten jest jakoś bardziej narażony na złapanie czegoś podobnego?

 

Nie, to nie jest infekcja działająca jak "wirus" / "robak", który się replikuje. Żródłem infekcji jest wizyta określonego zainfekowanego URL.

 

 

 

.

[ml39882]

W załączniku nowy OTL.

 

Jeszcze raz dzięki wielkie, naprawdę jestem pod wielkim wrażeniem działania serwisu i sprawności z jaką odpisujecie.

 

Z całą pewnością będę zaglądał tu częściej i postaram się w miarę możliwości odwdzięczyć

OTL.Txt

[picasso]

Wszystko zrobione. Finiszujemy:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie siedzą wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 29
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Opera 11.01.1190" = Opera 11.01
 
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

Czyli: odinstaluj wyliczone tu stare wersje Adobe / Java / Silverlight, zastąp najnowszymi (o ile potrzebne), zaktualizuj Operę i systemowy Internet Explorer (tak, to istotne).

 

4. Aktualnie brak jakiegokolwiek oprogramowania zabezpieczającego. Z darmowych przykładowe propozycje:

• Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall
  
• Antywirus: Avast, AVG, Panda Cloud Antivirus
  
• Pakiet: COMODO Internet Security
  

 

PS. Widzę Gadu-Gadu 10 na liście zainstalowanych. Są lepsze lżejsze alternatywy dla tego zasobożernego potwora: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[ml39882]

Dzięki wielkie, komputer jak nowo narodzony:) z całą pewnością przejrzę też inne wątki żeby teraz zapobiegać zamiast leczyć