Infekcja policyjnym Ukashem

[Pshemko]

Cześć

 

Proszę o pomoc w usunięciu malware by Ukash.

 

W pierwszej kolejności potraktowałem komputer malwarebytes, który usunął jakiś syf i problem zniknął.

Jednak pojawił się na drugi dzień. Wtedy użyłem jeszcze raz malwarebytes i hitmanpro w trybie awaryjnym i problem znowu zniknął

tylko na jeden dzień. Dzisiaj użyłem hitmanpro kickstart czyli uruchomiłem go z pendrive i znów program coś znalazł i usunął.

Aktualnie komputer działa poprawnie, ale chcę mieć pewność, że wszystko jest ok.

 

Załączam logi z OTL i Gmera.

 

Z góry dziękuję za pomoc.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

gmer-quick-skan.txtPobieranie informacji ...

[Landuss]

Logi nie wskazują na aktywną infekcję, ale są rzeczywiście jej ślady do usunięcia.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3186241951-4255620087-4124068397-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
 
:Files
C:\Users\tim\AppData\Roaming\Alunyn
C:\Users\tim\AppData\Roaming\Boxayw
C:\Users\tim\AppData\Roaming\Efoqw
C:\Users\tim\AppData\Roaming\Ekynip
C:\Users\tim\AppData\Roaming\Iqusq
C:\Users\tim\AppData\Roaming\Luxo
C:\Users\tim\AppData\Roaming\Muatv
C:\Users\tim\AppData\Roaming\Omip
C:\Users\tim\AppData\Roaming\Oqyco
C:\Users\tim\AppData\Roaming\Otuqk
C:\Users\tim\AppData\Roaming\Ovegi
C:\ProgramData\-UBsLvkjRkfnP1qr
C:\ProgramData\-UBsLvkjRkfnP1q
C:\ProgramData\UBsLvkjRkfnP1q
C:\ProgramData\eqn2v33l2070qj3n
C:\Users\tim\AppData\Local\eqn2v33l2070qj3n
C:\Users\tim\AppData\Roaming\AltShell.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Pshemko]

Podsyłam nowy log.

OTL-new.TxtPobieranie informacji ...

[picasso]

Jeszcze poprawki wymagane tzn. jeden plik infekcji ominięty w usuwaniu (erolpxei.pad) oraz korekta atrybutów, bo obiekty Firefox mają atrybut H (ukryty), co nie powinno mieć miejsca:

 

[2009/11/04 19:24:38 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\tim\AppData\Roaming\Mozilla\Extensions

[2012/10/26 14:49:59 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\tim\AppData\Roaming\Mozilla\Firefox\Profiles\jw32wc0w.default\extensions

[2010/10/04 19:30:57 | 000,001,827 | -H-- | M] () -- C:\Users\tim\AppData\Roaming\Mozilla\Firefox\Profiles\jw32wc0w.default\searchplugins\bing.xml

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\erolpxei.pad
attrib /d /s -h C:\Users\tim\AppData\Roaming\Mozilla /C

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Przedstaw wynikowy log z usuwania OTL. Nowy skan OTL zbędny.

 

 

 

.

[Pshemko]

Nowy log

OTL.txtPobieranie informacji ...

[picasso]

Przejdź do finalizacji:

 

1. W OTL uruchom Sprzątanie, co ma usunąć z dysku i rejestru OTL.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starą wersję Java™ 6 Update 31 i zastąp najnowszą, o ile w ogóle potrzebna: KLIK. Stara Java to jedna z dróg tej infekcji.

 

 

 

.