Wirus ukash

[onnex]

Witam. Dzisiaj rano gdy mój brat używał komputera pojawił się wirus ukash. Według brata stało się to podczas oglądania filmu na stronie hxxp://www.kinomaniak.tv Niestety nie było mnie w domu. Poleciłem mu odłączyć internet jak najszybciej i wyłączyć komputer. Gdy wróciłem, uruchomiłem komputer i swoje konto. Wszystko uruchomiło się normalnie. Wylogowałem się i zalogowałem na konto brata. Zamiast ekranu o zablokowaniu komputera pojawił się biały ekran. Wróciłem na swoje konto by zwrócić się tu o pomoc. Nagle utraciłem połączenie z internetem. Uruchomiłem ponownie komputer i po wirusie nie ma śladu, konto brata uruchamia się normalnie. Boję się jednak, że coś nadal może w nim siedzieć. Próbowałem zainstalować Combofix'a, jednak postanowiłem najpierw zwrócić się o pomoc tutaj.

System to Windows 7 Home Premium 64-bit.

Użyłem programu defogger.

https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/ Tutaj jest napisane że najnowsza wersja GMER to 2.0.18454.

Ja pobrałem program uzywając pierwszego buttona z powyższej strony i pobrał mi się w wersji 2.1.19163, czy jest to problem?

Oto logi tworzone z konta brata:

 

 

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 17:11 on 04/05/2013 (Kubuś)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

Extras.Txt

OTL.Txt

GMER.txt

[picasso]

Tutaj jest napisane że najnowsza wersja GMER to 2.0.18454.

 

Ja pobrałem program uzywając pierwszego buttona z powyższej strony i pobrał mi się w wersji 2.1.19163, czy jest to problem?

 

Nie, żaden problem. Po prostu nie miałam czasu zaktualizować danych w temacie.

 

 

Próbowałem zainstalować Combofix'a, jednak postanowiłem najpierw zwrócić się o pomoc tutaj.

 

Tu nie ma czegoś takiego jak "instalacja" ComboFix i wybór kiedy go uruchomisz. Jego uruchomienie jest równe uruchomieniu czyszczenia i nie można tego zatrzymać. Na dysku jest folder C:\32788R22FWJFW, który oznacza wyekstraktowanie składników ComboFix. Nie ma jednak innych fragmentów należnych do narzędzia, toteż nasuwa się, że albo narzędzie nie chciało się uruchomić poprawnie, albo zamknąłeś je dostatecznie szybko brutalnie mu przerywając.

 

 

Wylogowałem się i zalogowałem na konto brata. Zamiast ekranu o zablokowaniu komputera pojawił się biały ekran. Wróciłem na swoje konto by zwrócić się tu o pomoc. Nagle utraciłem połączenie z internetem. Uruchomiłem ponownie komputer i po wirusie nie ma śladu, konto brata uruchamia się normalnie.

 

Na dysku pozotały tylko szczątki infekcji, są też małe śmieci adware. Doczyść to oraz inne drobnostki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Ochrona GARDA!\AppData\Roaming\skype.ini
C:\Users\Ochrona GARDA!\AppData\Roaming\Etpaf
C:\Users\Ochrona GARDA!\AppData\Roaming\Mypeab
C:\ProgramData\0u3p16i75arkc2eoii6o4e7xi74ko4406750jc
@C:\ProgramData\Microsoft:prAeeZ7y1nyh2Epnc3N5wwyI
@C:\ProgramData\Microsoft:v1s5vFPmehf0Da6Drljz6
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
netsh advfirewall reset /C
 
:OTL
IE - HKU\S-1-5-21-3098130944-3263824839-506189537-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid=%7B10B90942-A8E3-4C34-8F37-EEFD537F4741%7D&mid=3082124acdc047d0ba80d16fab52b687-852eaf4351e2717f9b7cc345b6c2b3737250a4e0&lang=pl&ds=AVG&pr=pr&d=2012-08-01 12:20:08&v=12.1.0.21&sap=dsp&q={searchTerms}
O3 - HKU\S-1-5-21-3098130944-3263824839-506189537-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O7 - HKU\S-1-5-21-3098130944-3263824839-506189537-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wszystkie dyski są zimmunizowane za pomocą czegoś w rodzaju USBFix, falsyfikaty autorun.inf utworzone:

 

O32 - AutoRun File - [2013-03-02 13:58:25 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2013-03-02 13:58:27 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2013-03-02 13:58:27 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]

 

To ma skutki uboczne na Windows 7: KLIK. Usuń immunizację.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner.

 

 

 

.

[onnex]

2 Wszystkie dyski są zimmunizowane za pomocą czegoś w rodzaju USBFix, falsyfikaty autorun.inf utworzone:

 

O32 - AutoRun File - [2013-03-02 13:58:25 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-03-02 13:58:27 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-03-02 13:58:27 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]

 

Mój błąd, używałem USBFix.

 

Oto logi:

AdwCleaner.txt

OTL.txt

OTL2.txt

[picasso]

Wszystko pomyślnie zrobione. Kończymy:

 

1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane przez AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FB8E02D9-8C61-406B-9C2D-529D1AF5F7E7}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Po Sprzątaniu OTL sprawdź czy zniknął szczątkowy folder po ekstrakcji ComboFix: C:\32788R22FWJFW.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj wszystkie stare wtyczki Adobe | Java | Silverlight i zastąp najnowszymi (o ile potrzebne): KLIK. To m.in. luki Java są przyczyną tej infekcji. Wg raportu są zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216027F0}" = Java™ 6 Update 27

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 29

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[onnex]

Dziękuję bardzo za pomoc.