Wirus UKASH + policja, ponowny problem

[gugu]

Witam,

Dzisiaj ponownie (po raz drugi, wcześniej mniej więcej rok temu, tutaj temat -> https://www.fixitpc.pl/topic/10627-pomoc-z-ukash/?do=findComment&comment=75791) pojawił mi się na komputerze wirus UKASH. Myślałem, że jest on raczej jak ospa, tzn., że jak już go raz miałem, to już go nie złapię, no ale jednak się przeliczyłem. Nie mam pojęcia skąd, na żadne podejrzane strony raczej nie wchodziłem, no ale jest.

Po wyskoczeniu komunikatu uruchomiłem ponownie komputer, włączyłem tryb awaryjny zwykły i na nim komputer się wyłączył, wszedłem z powrotem w tryb normalny, wyskoczył mi komunikat i przy zamykaniu systemu przez alt+ctrl+del komunikat zniknął, zaczęło się zamykanie, ale blokowało je dwa programy, zdążyłem wcisnąć anuluj i komputer się nie wyłączył, komunikat wcześniej się zdążył wyłączyć i w chwili obecnej działa normalnie, bo tak jakby w środku wyłączania go zatrzymałem. W takim stanie wykonałem logi, które załączam, mam nadzieję, że zniknięcie komunikatu nie skutkuje brakiem pokazania go w logach.

Pozdrawiam

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Infekcja nadal czynna (jest wpis startowy). Poza tym, w systemie jest też adware. Przeprowadź następujące operacje:

 

1. Na początek prawidłowe deinstalacje adware:

- Przez Panel sterowania odinstaluj: LiveVDO, LiveVDO plugin 1.3. Tak, to nie jest pomyłka, te wtyczki video robią śmietnik w systemie.

- W Google Chrome w Rozszerzeniach powtórz deinstalację LiveVDO plugin, a w zarządzaniu wyszukiwarkami ustaw Google jako domyślną i po tym skasuj z listy Web Search.

- W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Dawid\AppData\Roaming\skype.dat
C:\Users\Dawid\AppData\Roaming\skype.ini
C:\Users\Dawid\AppData\Roaming\IS2012
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[gugu]

Zrobione. UKASH się nie pojawił.

Przy okazji spytam, robiąc skan GMER wyskoczyło mi tam pełno linijek w tym oknie, to znaczy, że system jest tak pozarażany i tyle błędów/infekcji itd.? Dodam, że od dłuższego czasu chodzi bardzo opornie, zacina się i wolno działa, a czasem ma zawiechę na kilkadziesiąt sekund obrazu z zacięciem dźwięku łącznie, wyświetlając po tym błąd ze sterownikami nVidii. Da się coś z tym zrobić?
 

OTL.Txt

AdwCleanerS2.txt

[picasso]

Akcje czyszczące pomyślnie wykonane. Kończymy:

 

1. Drobna poprawka na domyślne wyszukiwarki IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FF6203B1-8180-4514-A251-10C11866044E}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FF6203B1-8180-4514-A251-10C11866044E}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3BFEEB56-16D0-4169-A2FA-B7AEE89984E9}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E73899F9-65A9-4A43-B836-1C61FAD774DC}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{3BFEEB56-16D0-4169-A2FA-B7AEE89984E9}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń wyliczone poniżej stare wersje Adobe / Java, zaktualizuj OpenOffice.org (obecnie niezdolny używać najnowszej Java) oraz przeglądarki Google Chrome i Firefox: KLIK. Wg raportu są tu wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Polish

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 

========== HKEY_USERS Uninstall List ==========
 

[HKEY_USERS\S-1-5-21-1802146336-1487643771-2171056566-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 27.0.1453.110

 

 

Przy okazji spytam, robiąc skan GMER wyskoczyło mi tam pełno linijek w tym oknie, to znaczy, że system jest tak pozarażany i tyle błędów/infekcji itd.?

Gdyby były modyfikacje rootkit, przecież bym o tym powiedziała od razu, zadając także stosowne kroki. Dużo linijek, bo są zainstalowane inwazyjne programy: Avast, sterownik SPTD od emulatora napędów wirtualnych (notabene, nie wykonałeś ogłoszenia: KLIK).

 

 

Dodam, że od dłuższego czasu chodzi bardzo opornie, zacina się i wolno działa, a czasem ma zawiechę na kilkadziesiąt sekund obrazu z zacięciem dźwięku łącznie, wyświetlając po tym błąd ze sterownikami nVidii. Da się coś z tym zrobić?

O ile oporny system ewentualnie może nasuwać skojarzenia z ingerencją Avast i różnymi programami w starcie, to już błędy sterowników nVidia wyglądają na odrębne zagadnienie (albo należy zaktualizować sterowniki nVidia, albo jest to problem sprzętowy). Wstępnie, by ulżyć nieco systemowi, zredukuj wpisy startowe:

 

1. Odinstaluj zbędne aplikacje zintegrowane z ASUSem, co odetnie kilka procesów: ASUS Data Security Manager (szyfrator danych, jeśli nie korzystasz), ASUS FancyStart (modyfikacja ekranu startowego), ASUS LifeFrame3 (zrzuter ekranu / edytor powiązany z kamerą + ASUS Virtual Camera), ASUS MultiFrame (system dzielenia okien), ASUS SmartLogon (logowanie do systemu za pomocą rozpoznawania twarzy), ASUS Splendid Video Enhancement Technology (asusowe "polepszanie" jakości obrazu), Fast Boot (rodzaj menedżera startu), NB Probe (monitor sprzętowy). Zresztą ten Fast Boot sypie błędami w Dzienniku zdarzeń:

 

Error - 2013-06-20 05:40:27 | Computer Name = gugu | Source = Application Error | ID = 1000

Description = Nazwa aplikacji powodującej błąd: FBAgent.exe, wersja: 1.0.2.0, sygnatura

czasowa: 0x4a9f9317 Nazwa modułu powodującego błąd: FBAgent.exe, wersja: 1.0.2.0,

sygnatura czasowa: 0x4a9f9317 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000012a5b

Identyfikator

procesu powodującego błąd: 0x4ec Godzina uruchomienia aplikacji powodującej błąd:

0x01ce6d9a1285aa40 Ścieżka aplikacji powodującej błąd: C:\Windows\system32\FBAgent.exe

Ścieżka

modułu powodującego błąd: C:\Windows\system32\FBAgent.exe Identyfikator raportu:

6feadfc0-d98d-11e2-ba73-e0cb4e2a6b71

 

2. Uruchom Autoruns i w karcie Logon odznacz wpisy:

 

O4:64bit: - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdcBase.exe (Microsoft Corporation)

O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [GrooveMonitor] C:\Program Files (x86)\Microsoft Office 2007\Office12\GrooveMonitor.exe (Microsoft Corporation)

O4 - HKLM..\Run: [NBAgent] C:\Program Files (x86)\Nero\Nero 10\Nero BackItUp\NBAgent.exe (Nero AG)

O4 - HKLM..\Run: [NokiaMServer] C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer.exe (Nokia)

O4 - HKLM..\Run: [NokiaMusic FastStart] C:\Program Files (x86)\Nokia\Nokia Music Player\NokiaMusicPlayer.exe (Nokia)

O4 - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found

O4 - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001..\Run: [Facebook Update] C:\Users\Dawid\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)

O4 - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001..\Run: [Gadu-Gadu] C:\Program Files\GG\gg.exe (Gadu-Gadu S.A.)

O4 - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001..\Run: [NokiaOviSuite2] C:\Program Files (x86)\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray File not found

O4 - Startup: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = D:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

O4 - Startup: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PMB Media Check Tool.lnk = C:\Program Files (x86)\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe (Sony Corporation)

 

W karcie Services odznacz:

 

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2013-06-13 00:42:13 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2013-05-10 09:57:22 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)

SRV - [2012-11-09 12:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2012-10-03 00:21:00 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)

SRV - [2012-10-02 14:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)

SRV - [2012-07-14 02:13:54 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2010-03-25 15:39:22 | 000,490,280 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate)

 

3. Zresetuj system i podaj wyniki czy jest jakaś poprawa.

 

 

 

.

Edytowane 20 Lipca 2013 przez picasso
21.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso