Proszę o pomoc w pozbyciu się infekcji Ukash...

[Dytek]

Witam,

 

 Mój komputer został zainfekowany wirusem ukash i nie wiem jak się go pozbyć. Bardzo proszę o pomoc. Zaznaczam, że nie muszę wchodzić w tryb awaryjny, ponieważ (póki co) możliwe jest korzystanie z komputera z konta drugiego użytkownika. Będę bardzo wdzięczny za pomoc.

OTL.Txt

Extras.Txt

[picasso]

Zaznaczam, że nie muszę wchodzić w tryb awaryjny, ponieważ (póki co) możliwe jest korzystanie z komputera z konta drugiego użytkownika.

 

Ten fragment wypowiedzi mnie zastanawia, ponieważ dostarczony tu log jest zrobiony z poziomu Trybu normalnego i zalogowanego konta "Ja", konto jest zainfekowane, na dysku nie widać obiektów żadnego innego konta... Przy okazji: są ślady stosowania skanera SpyHunter, skaner wątpliwej reputacji i niepolecany tutaj.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\Ja\AppData\Roaming\skype.dat
C:\Users\Ja\AppData\Roaming\skype.ini
C:\Users\Ja\AppData\Roaming\OpenCandy
C:\Users\Ja\AppData\Roaming\mozilla\firefox\profiles\e4y1hg4u.default\searchplugins\daemon-search.xml
C:\Program Files (x86)\Przyspiesz Komputer
C:\Program Files\Enigma Software Group
C:\sh4ldr
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={44104CE7-75F4-4B3E-9773-8A51CCF5B32B}&mid=063b76e36f804cf3a2b5d0b1dbcf86d8-5d4fb3bbcad1a91e7f78f64f192a1bba13116329&lang=pl&ds=ik011&pr=&d=2012-10-19 13:06:36&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files (x86)\Przyspiesz Komputer\PCSpeedUp.lnk ()
O4 - HKCU..\Run: [hndfwej] C:\Users\Ja\AppData\Local\gcpwfn.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj: AVG Security Toolbar, DAEMON Tools Toolbar, McAfee Security Scan Plus, uTorrentBar Toolbar, vShare.tv plugin 1.3.

- W Google Chrome w Rozszerzeniach odinstaluj: AVG Security Toolbar, uTorrentBar, vshare plugin.

- W Firefox w Dodatkach odinstaluj: DAEMON Tools Toolbar, uTorrentBar Community Toolbar.

 

3. Uruchom AdwCleaner. Uwaga: masz zainstalowaną Avirę z adware Ask Toolbar + Avira SearchFree Toolbar plus Web Protection Updater, ale niestety adware jest warunkiem korzystania z osłony Web. By nie naruszyć tej funkcji, AdwCleaner musi zostać skonfigurowany, by ominąć usuwanie tego szczególnego adware: klik w menu ? > Opcje > zaznacz /DisableAskDetection. Po skonfigurowaniu programu wykorzystaj opcję Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

.

[Dytek]

Log był robiony z konta drugiego użytkownika, innego niż "Ja". Być może chodzi o to, że OTL przed uruchomieniem prosi mnie o podanie uprawnień administratora. Faktycznie próbowałem usunąć problem przy pomocy Spyware, ale okazało się, że usunięcie zagrożeń jest płatne. Poniżej logi z podanych przez Ciebie operacji.

OTL z punktu 1.txt

AdwCleanerS1.txt

OTL z punktu 4.Txt

FSS.txt

[picasso]

Zadania pomyślnie wykonane, ale zanim zadam kolejne kroki, potwierdź mi wyraźnie o jakim koncie innym niż Ja mówisz i czy to konto jest nadal blokowane, gdyż:

 

 

Log był robiony z konta drugiego użytkownika, innego niż "Ja". Być może chodzi o to, że OTL przed uruchomieniem prosi mnie o podanie uprawnień administratora.

 
1. To dopiero logi z FSS / AdwCleaner pokazują, że istnieje na dysku ścieżka konta Rozik. Natomiast OTL robiłeś niezgodnie z instrukcją, nie zaznaczyłeś opcji Wszyscy użytkownicy (częściowy odczyt innych kont niż zalogowane, ale tylko częściowy) i jest skan bieżącego użytkownika:

 

Computer Name: DELL | User Name: Ja | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans

 

2. Owszem, OTL przy podnoszeniu uprawnień może zmienić kontekst zalogowanego konta w odczycie, tak więc "current" tu = Ja a nie Rozik. Niestety konta Rozik nie da rady zeskanować tym sposobem wiernie. Nie pierwszy raz jest ten problem na forum.

 

3. To wszystko co wyżej nie zmienia faktu, że to konto Ja było zainfekowane, bo to jego skan był robiony i to w jego ścieżkach były pliki infekcji:
 
C:\Users\Ja\AppData\Roaming\skype.dat
C:\Users\Ja\AppData\Roaming\skype.ini
 
 

Faktycznie próbowałem usunąć problem przy pomocy Spyware, ale okazało się, że usunięcie zagrożeń jest płatne.

 
I o to chodzi. Bezczelne praktyki, pokazują i płać. W dawniejszych czasach ten program był na czarnej liście trefnych aplikacji.
 
 
 
.

[Dytek]

Wszystkie operacje wykonywałem z konta "Rozik". Z tego konta komputer działa normalnie, to konto "Ja" jest blokowane przez wirusa. Zapomniałem zaznaczyć opcję "wszyscy użytkownicy". W takim razie dołączam logi z OTL po zaznaczeniu tej opcji.

OTL.Txt

Extras.Txt

[picasso]

Wszystkie operacje wykonywałem z konta "Rozik". Z tego konta komputer działa normalnie, to konto "Ja" jest blokowane przez wirusa.

 

Wszystkie logi z OTL od pierwszego do ostatniego są zrobione z poziomu kontekstu konta Ja a nie Rozik:

 

Computer Name: DELL | User Name: Ja | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans

 

Usuwałam już infekcję z konta Ja (fałszywy "Skype"). Wg raportu z usuwania OTL akcja wykonana:

 

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.

 

========== FILES ==========

C:\Users\Ja\AppData\Roaming\skype.dat moved successfully.

C:\Users\Ja\AppData\Roaming\skype.ini moved successfully.

 

W podanych raportach OTL brak już oznak infekcji. Tak więc: czy problemy nadal występują? Potwierdź, że nie, i zadam kolejne już kosmetyczne kroki.

 

 

.

[Dytek]

Potwierdzam - problem został usunięty

[picasso]

Poprawki:

 

1. Firefox był zabrudzony, po czyszczeniu i tak zostały martwe preferencje. Zrób lepsze czyszczenie: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

2. W Google Chrome nadal widzę: na jednym profilu w Rozszerzeniach vshare plugin, na drugim ustawioną domyślną wyszukiwarkę AVG Secure Search. Na każdym koncie po kolei wejdź do ustawień Google Chrome i doczyść.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-329916229-3535636047-659731150-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKU\S-1-5-21-329916229-3535636047-659731150-1000\..\SearchScopes\{7B1ED32A-7234-4CF3-8A46-C813515FD76D}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=20524578-9e31-45e3-b420-e6810808a809&apn_sauid=A8C97E38-3BD4-4A67-8DF8-4EEEB49480CC
IE - HKU\S-1-5-21-329916229-3535636047-659731150-1003\..\SearchScopes\{829AD7A0-0CBD-408D-8090-580542BB96A9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}
O3 - HKU\S-1-5-21-329916229-3535636047-659731150-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-21-329916229-3535636047-659731150-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-329916229-3535636047-659731150-1003\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O37 - HKU\S-1-5-21-329916229-3535636047-659731150-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found

 

Klik w Wykonaj skrypt.

 

4. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

5. Zrób nowy log z OTL z zaznaczoną opcją Wszyscy użytkownicy, ale ograniczony tylko do: tylko opcję Rejestr (nie pomyl z "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Dytek]

Na żadnym z profili w rozszerzeniach Google Chrome nie widzę vshare plugin. Resztę zrobiłem. Poniżej log OTL.

OTL.Txt

[picasso]

Przechodzimy do finalizacji tematu:

 

1. Usługa Centrum zabezpieczeń została wyłączona. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu są tu zainstalowane wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86417017FF}" = Java 7 Update 17 (64-bit)
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.4 - Polish

"ENTERPRISE" = Microsoft Office Enterprise 2007

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 

Czyli: usunięcie starych wersji Java i Adobe (luki prowadzące do infekcji), aktualizacja przeglądarek Firefox i IE oraz instalacja pakietu SP3 dla Office 2007.

Poboczna uwaga: Gadu-Gadu 10. Program jest stary i słabo działający (więcej reklam niż funkcji rzeczywistych, nieczynne serwisy zintegrowane). Oglądnij najnowsze lepsze GG11 lub alternatywne programy (WTW, Kadu, AQQ, Miranda NG): KLIK.

 

 

 

.

[Dytek]

Ok, wszystkie kroki wykonane. Dziękuję baaaardzo, bardzo. Twoja pomoc była nieoceniona. Za chwilę przekażę jakąś rozsądną dotację na utrzymanie stronki. Pozdrawiam !