Ukash - polska policja

[czopek]

Witam,

 

Moj komputer zostal zainfekowany wirusem ukash polska policja ktory skutecznie blokuje mi dostep.

 

 

Nie mam pojecia co robic a dla Was to pewnie bułka z masłem

 

Zamieszczam logi z OTL i baardzo prosze o pomoc.

OTL.txt

Extras.txt

[diox]

Otwórz Notatnik i wklej:

:Files
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fusioncache.dat
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\fusioncache.dat
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

:Commands
[emptytemp]

Zapisz jako FIX.TXT . Potem wejdź do OTLPE, otwórz OTL, wciśnij na pole do wklejania skryptu i wskaż FIX.TXT. Potem wciśnij Run Fix. Powinien nastąpić restart. Spróbuj zalogować się do Windows, jeśli dalej będzie Ukash, zrób nowe logi z OTL.
 
 
 
.

[czopek]

Po restarcie bialy ekran nic sie nie da zrobic tryb awaryjny sie sam restartuje 

 

zamieszczam nowe logi:

OTL2.txt

[diox]

Tutaj może być znacznie większy problem, w logach jest usługa PowerManager:

 

SRV - File not found [Auto] -- -- (PowerManager)

 

Ta usługa jest charakterystyczna dla wirusa Jeefo. Zaraża on pliki wykonywalne, jeśli jest zarażał to możliwy format na widoku. Nie wiadomo, czy wirus był aktywny, zrób skan za pomocą płyty Kaspersky Rescue Disc i powiedz, czy coś wykryto.

 

 

 

.

[picasso]

W tym przypadku zalogowane konto nie ma żadnego znaczenia (i nawet nie można dokonać wyboru), przecież to log stworzony przez OTLPE (środowisko zewnętrzne). Usuwam post wprowadzający w błąd. Wszystkie dostarczone logi są prawie repliką, likwiduję nadwyżkę zostawiając tylko pierwszy zestaw. Posty sklejam.

 

 

diox

 

Usunąłeś skryptem prawidłowe pliki, nie mają one żadnego związku z infekcją policyjną:

- DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini: pliki Media Player

- fusioncache.dat: pliki cache .NET Framework (trzymają ścieżkę pobierania).

Za to ominąłeś wpisy infekcji (i wpisu O4 z explorer.exe nie wolno przetworzyć prez dyrektywę :OTL, bo wywali to prawidłowy explorer.exe):

 

O4 - HKU\Administrator_ON_C..\Run: [amva] File not found

O4 - HKU\Administrator_ON_C..\Run: [EXPLORER.EXE] C:\WINDOWS\explorer.exe (Microsoft Corporation)

O4 - HKU\Administrator_ON_C..\Run: [wsctf.exe] File not found

O4 - HKU\Agnieszka_ON_C..\Run: [amva] File not found

O4 - HKU\user_ON_C..\Run: [amva] File not found

O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O32 - AutoRun File - [2010/08/06 04:31:07 | 000,000,426 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
 

+ wpisy MountPoints2 (te były inne w różnych logach)

 

A Jeefo wygląda na szczątki, wpis jest "not found" (nie wykryty plik svchost.exe). Oczywiście to nie wyklucza, że infekcja w EXE może jednak być.

 

 

czopek

 

Nie ma żadnych śladów infekcji policyjnej, za to są ślady innych starych infekcji (wspominany Jeefo oraz archaiczna infekcja z pendrive, która m.in. przekonfigurowała wartość Userinit na explorer.exe). Skoro nie widać tu infekcji policyjnej, wnioski są takie:

- log z OTLPE jest zbyt ograniczony i czegoś tu nie pokazuje, w tej płycie jest zresztą zintegrowany bardzo stary OTL pozbawiony wielu skanów. Potrzebny log z nowszej wersji OTL.

- lub jest tu skanowany zły system (OTLPE skanuje z biegu pierwszą partycję podstawową aktywną, w układach multiboot nawet nie ma możliwości wyboru skanu drugiego systemu na innym dysku). OTLPE skanował C, ale jest jeszcze J, który jest dość spory i nie wiadomo co na nim leży:

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 74.52 Gb Total Space | 52.16 Gb Free Space | 70.00% Space Free | Partition Type: NTFS

Drive D: | 97.66 Gb Total Space | 2.23 Gb Free Space | 2.28% Space Free | Partition Type: NTFS

Drive E: | 1009.97 Mb Total Space | 590.03 Mb Free Space | 58.42% Space Free | Partition Type: FAT

Drive J: | 368.10 Gb Total Space | 150.67 Gb Free Space | 40.93% Space Free | Partition Type: NTFS

Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Czy XP na dysku C to właściwy system? Jeśli tak, zrób co następuje:

 

1. Wstępna korekta Userinit i usunięcie tego co widać, by w ogóle można było się zalogować. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej (pomijam wpisy MountPoints2):

 

:Reg
[HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
 
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [WinampAgent] File not found
O4 - HKU\Administrator_ON_C..\Run: [amva] File not found
O4 - HKU\Administrator_ON_C..\Run: [wsctf.exe] File not found
O4 - HKU\Agnieszka_ON_C..\Run: [amva] File not found
O4 - HKU\user_ON_C..\Run: [amva] File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
SRV - File not found [Auto] -- -- (PowerManager)
DRV - File not found [Kernel | On_Demand] -- -- (GMSIPCI)
O32 - AutoRun File - [2010/08/06 04:31:07 | 000,000,426 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix.

 

2. Następnie zastartuj do Windows a nie OTLPE. Wybierz Tryb awaryjny z Wierszem polecenia, zaloguj się na właściwe zainfekowane konto, w linii komend uruchom OTL w wersji działające pod Windows (a nie OTLPE): KLIK.

 

 

 

.

Edytowane 18 Maja 2013 przez picasso
18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso