Wirus ukash

[riv]

Witam

Bardzo prosze o pomoc w usunięciu tego wirusa.

Logi otl:

Extras.Txt

OTL.Txt

[picasso]

Log z OTL nieprawidłowo skonfigurowany, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Używałeś też ComboFix i na ten temat: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\indyk\wgsdgsdgdsgsd.exe
C:\Documents and Settings\indyk\Menu Start\Programy\Autostart\runctf.lnk
 
:OTL
O4 - HKU\S-1-5-21-1844237615-2049760794-725345543-1003..\Run: [ASRockXTU]  File not found
O4 - HKU\S-1-5-21-1844237615-2049760794-725345543-1003..\Run: [zASRockInstantBoot]  File not found
O7 - HKU\S-1-5-21-1844237615-2049760794-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie możesz opuścić Tryb awaryjny, gdyż blokada zniknie.

 

2. Zrób nowy log OTL z opcji Skanuj, przypominam o Użyj filtrowania, dodatkowo zaznacz opcję Pomiń pliki Microsoftu (już te dane znam i nie muszę ich ponownie oglądać). Pliku Extras nie załączaj po raz drugi.

 

 

 

.

[riv]

Zrobiłem jak kazałaś ale niestety trochę się pośpieszyłem i usunołęm wczoraj plik rundll32.exe.

wyniki skanowania:

OTL.Txt

[picasso]

Zrobiłem jak kazałaś ale niestety trochę się pośpieszyłem i usunołęm wczoraj plik rundll32.exe.

 

Poważny błąd, to niezbędny plik Microsoftu. Służy do uruchamiania określonych obiektów (opis pliku na XP: "Uruchamia plik DLL jako aplikację"), infekcja tylko się nim posługuje pośrednio wywołując komendę i uruchamiając całkiem inny moduł za pomocą rundll. Mam tylko nadzieję, że szyki Ci popsuła wbudowana w system Ochrona systemu plików i po usunięciu natychmiast plik odtworzyła. Poproszę o skan na wystąpienia pliku. Uruchom SystemLook i w oknie wklej:

 

:filefind
rundll32.exe

 

Klik w Look. Podaj wyniki skanu.

 

 

 

.

[riv]

SystemLook 30.07.11 by jpshortstuff

Log created at 10:06 on 07/12/2012 by indyk

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "rundll32.exe"

C:\WINDOWS\system32\dllcache\rundll32.exe --a--c- 33280 bytes [12:00 04/08/2004] [12:00 04/08/2004] 5B1154CEA851B31F1FEB0F10204F7969

 

-= EOF =-

[picasso]

Jednak nie, Ochrona plików nie zareagowała i pliku rzeczywiście nie ma w system32. Na szczęście jest jego kopia w katalogu Ochrony systemu plików (dllcache).

 

1. Upewnij się, że masz odznaczoną opcję w Mój komputer > Narzędzia > Opcje folderów > Ukryj chronione pliki systemu operacyjnego. Przekopiuj plik C:\WINDOWS\system32\dllcache\rundll32.exe do katalogu C:\WINDOWS\system32. Zrób nowy log SystemLook na ten sam warunek co poprzednio.

 

2. Przy okazji, od razu skasuj przez SHIFT+DEL te odpadki po Symantec:

 

[2012-11-28 20:44:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\indyk\Ustawienia lokalne\Dane aplikacji\Symantec
[2012-11-28 20:32:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton
[2012-11-28 20:31:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller
[2012-11-29 19:00:01 | 000,004,484 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.PNF

 

 

 

.

[riv]

Dzięki za pomoc

 

SystemLook 30.07.11 by jpshortstuff

Log created at 17:41 on 07/12/2012 by indyk

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "rundll32.exe"

C:\WINDOWS\system32\rundll32.exe --a---- 33280 bytes [16:36 07/12/2012] [12:00 04/08/2004] 5B1154CEA851B31F1FEB0F10204F7969

C:\WINDOWS\system32\dllcache\rundll32.exe --a--c- 33280 bytes [16:36 07/12/2012] [12:00 04/08/2004] 5B1154CEA851B31F1FEB0F10204F7969

 

-= EOF =-

[picasso]

Plik rundll32.exe przywrócony na miejsce. Możemy kończyć:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Ważne aktualizacje: KLIK. Wg raportu krytyczny poziom aktualizacji XP (a system odcięty od pobierania łat = tylko XP SP3 ma wsparcie) plus zainstalowane starocie:

 

[Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9

 

Czyli: odinstaluj wszystkie stare Adobe + Java zastępując je najnowszymi oraz wykonaj pełną aktualizację XP (SP3 + IE8 + reszta łat).

 

 

.