UKASH - proszę o pomoc

[ryuzaki12]

Witam, ukash zablokował mi komputer - nie moge wejsc w tryb awaryjny. Wykonałem log FRST. Proszę o pomoc.

 

LOG FRST: http://wklej.org/id/1132958/

[picasso]

Są tu aż dwa warianty blokady.

 

1. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\dquudcexdlsxfeusnak.bat
C:\ProgramData\dquudcexdlsxfeusnak.reg
C:\ProgramData\huagyhdjyfcaxjojsum.bat
C:\ProgramData\huagyhdjyfcaxjojsum.reg
C:\Users\Michal\AppData\Roaming\data.dat
C:\Users\Michal\AppData\Roaming\settings.ini
C:\Users\Michal\AppData\Roaming\i.ini
C:\Users\Michal\AppData\Roaming\OpenCandy
C:\Users\Michal\AppData\Local\Temp\*.exe
C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\*.exe
HKLM-x32\...\Winlogon: [shell] explorer.exe, C:\PROGRA~3\dquudcexdlsxfeusnak.bat [70 ] () 
HKU\Michal\...\Winlogon: [shell] explorer.exe,C:\Users\Michal\AppData\Roaming\data.dat [122880 2013-08-01] () 
HKU\UpdatusUser.Wnuk-Komputer\...\Run: [AdobeBridge] - [x]
HKU\UpdatusUser.Wnuk-Komputer\...\RunOnce: [CTPostBootSequencer] - "C:\Users\Michal\AppData\Local\Temp\CTPBSeq.exe" /reglaunch /self_destruct
HKU\UpdatusUser.Wnuk-Komputer\...\CurrentVersion\Windows: [Load] C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\{55702~1.EXE 
S3 PortTalk; System32\Drivers\PortTalk.sys [x]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [x]
S3 VirtualFD; \??\C:\Users\Michal\Desktop\Nowy folder (2)\vfd21-080206\vfd.sys [x]
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d c:\windows\syswow64\nvinit.dll /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. System zostanie odblokowany. Zaloguj się normalnie do Windows. Uruchom ponownie FRST, zrób skan, ma powstać też plik Addition (czyli dołączasz dwa). Dołącz też plik fixlog.txt. Ponadto, spakuj cały folder C:\FRST\Quarantine do ZIP, umieść na jakimś hostingu i prześlij mi na PW link do paczki.

 

 

 

.

[ryuzaki12]

Fixlog: http://wklej.org/id/1132996/

FRST: http://wklej.org/id/1133002/

Addition: http://wklej.org/id/1132993/

[picasso]

Teraz możemy zająć się szczątkami adware:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {6B24053B-DECA-470D-BE98-36413672253D} - System32\Tasks\SpeedyPC Pro => E:\Program Files (x86)\SpeedyPC Software\SpeedyPC\SpeedyPC.exe
Task: {7808DE44-5951-4DA1-A1E1-A1C65B825485} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert
Task: {7F8862C4-8FF6-4BC4-BF5C-C9BDE817AA54} - System32\Tasks\EPUpdater => C:\Users\Michal\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe
Task: {93F56F0D-56A8-4E27-B4A2-1F1641C8C3BB} - System32\Tasks\SpeedyPC Update Version3 => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe
Task: {BA8B39E2-A0E4-4CB4-AEE3-7D2EA887F2D8} - System32\Tasks\Your File Updater => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe
Task: {D5A1C572-F612-4950-9B51-28DDA8596C3E} - System32\Tasks\SpeedyPC Update Version3 Startup Task => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe
Task: C:\Windows\Tasks\SpeedyPC Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe
HKU\UpdatusUser.Wnuk-Komputer\...\CurrentVersion\Windows: [Load] C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\{55702~1.EXE 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/?utm_source=appliki&utm_medium=29986&utm_campaign=onetsg_start_pliki
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages =
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B845AC72890D62EB&affID=119357&tt=150813_206&tsp=4977
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
CHR HKLM-x32\...\Chrome\Extension: [clnaanfmjbkkkgkoeblihgbmcgekacpc] - C:\Users\Michal\AppData\Local\Temp\clnaanfmjbkkkgkoeblihgbmcgekacpc.crx
C:\Users\Michal\AppData\Local\Pokki

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń link kampanii Onetu stamtąd, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Delta Search.
• Ustawienia > karta Historia > wyczyść

3. Zrób nowy skan FRST (bez Addition) oraz OTL. Dołącz plik fixlog.txt.

 

 

 

.

[ryuzaki12]

Zrobione:

 

fixlog: http://wklej.org/id/1133281/

log FRST: http://wklej.org/id/1133282/

log OTL: http://wklej.org/id/1133279/

 

Dlaczego mialem wyczyscic akurat Google Chrome?

[picasso]

Wymagane małe poprawki.

 

1. Pobierz od nowa FRST (jest nowa wersja z bug fixami). Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f
CHR HKLM-x32\...\Chrome\Extension: [clnaanfmjbkkkgkoeblihgbmcgekacpc] - C:\Users\Michal\AppData\Local\Temp\clnaanfmjbkkkgkoeblihgbmcgekacpc.crx
HKU\UpdatusUser.Wnuk-Komputer\...\CurrentVersion\Windows: [Load] C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\{55702~1.EXE 
C:\ProgramData\pfsrltkcimblfrr
C:\Users\Michal\AppData\Roaming\Odypit
C:\Users\Michal\AppData\Roaming\SpeedyPC Software
C:\Users\Michal\AppData\Roaming\Xynaat

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Wynikiem będzie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

Dlaczego mialem wyczyscic akurat Google Chrome?

Co masz na myśli pytając o to? Skoro w logu była widoczna konfiguracja przeglądarki wykazująca ingerencje reklamiarzy, to czyszczę.

 

 

.

[ryuzaki12]

Pobrałem jeszcze raz z tego samego źródła.

 

FRST   http://wklej.org/id/1133727/

fixlog    http://wklej.org/id/1133729/

 

Google Chroma prawie w ogole nie zywam, tylko Opere i na niej złapałem tego ukasha. Dlatego sie zdziwiłem.

[picasso]

Dwa wejścia konsekwentnie nie chcą zejść. To błąd w FRST. Toteż ręcznie je wykończ.

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\clnaanfmjbkkkgkoeblihgbmcgekacpc

 

Następnie wejdź do klucza HKEY_USERS. Tam są "alfanumeryczne" podklucze z SID kont, omijasz te krótkie .DEFAULT, S-1-5-18, S-1-5-19, S-1-5-20 oraz te dłuższe z dopiskiem _classes na końcu. Pozostaną conajmniej dwa klucze o długich nazwach. Jeden z nich to klucz Twojego konta, a drugi należy do konta UpdatusUser nVidii. I właśnie o niego mi chodzi. Wchodzisz do klucza:

 

HKEY_USERS\wytypowany identyfikator SID konta nVidia\Software\Microsoft\Windows NT\CurrentVersion\Windows

 

W środku jest wartość Load punktująca uruchamianie dziwnego pliku z Temp (C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\{55702~1.EXE). Dwuklik w Load i wymaż ścieżkę dostępu.

 

2. Zrób nowy skan FRST (bez Addition).

 

 

Google Chroma prawie w ogole nie zywam, tylko Opere i na niej złapałem tego ukasha. Dlatego sie zdziwiłem.

Google Chrome było tu czyszczone z adware, czyli rzeczy nie związanych z infekcją. Opera zaś w ogóle niewidzialna w raportach, gdyż żaden z dostępnych analizerów nie skanuje jej preferencji. Sam fakt zainstalowania danej przeglądarki oczywiście nie mówi mi która z przeglądarek jest główną używaną przez użytkownika.

 

 

.

[ryuzaki12]

Jest tylko jeden klucz o długiej nazwie.

 

[picasso]

W takim układzie rejestr konta nVidia nie wygląda na załadowany i ręcznie wymagane byłoby podmontowanie pliku C:\Users\UpdatusUser.Wnuk-Komputer\NTUSER.DAT do edycji. Ale ja zgłosiłam już bugi FRST i autor to naprawił. Pobierz od nowa FRST. Otwórz Notatnik i wklej w nim:

 

HKU\UpdatusUser.Wnuk-Komputer\...\CurrentVersion\Windows: [Load] C:\Users\UpdatusUser.Wnuk-Komputer\AppData\Local\Temp\{55702~1.EXE

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

[ryuzaki12]

fixlog:  http://wklej.org/id/1134316/

[ryuzaki12]

Znowu złapałem ukasha... zapomniałem zaktualizaowac antycheata i niestety ukash znowu to wykorzystał. Przepraszam za zawracanie głowy i pokornie prosze kolejny raz o pomoc.

 

http://wklej.org/id/1135331/

[picasso]

Tamten poprzedni skrypt wykonany. No cóż, powtórka:

 

1. Użyłeś starej wersji FRST, zaopatrz się w najnowszą. Otwórz Notatnik i wklej w nim:

 

HKU\Michal\...\Winlogon: [shell] explorer.exe,C:\Users\Michal\AppData\Roaming\data.dat [50688 2013-08-01] () 
S4 WMCoreService;
C:\Users\Michal\AppData\Roaming\data.dat
C:\Users\Michal\AppData\Roaming\settings.ini
C:\Users\Michal\AppData\Roaming\i.ini
C:\Users\Michal\AppData\Local\Temp\*.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zaloguj się do Windows, zrób nowy skan FRST (zaznacz ponownie tworzenie Addition). Dołącz plik fixlog.txt.

 

 

Znowu złapałem ukasha... zapomniałem zaktualizaowac antycheata i niestety ukash znowu to wykorzystał.

Co masz na myśli? O co chodzi z "antycheatem", jakim / do czego? Ta infekcja ładuje się poprzez wizytowanie zainfekowanych stron, głównie wykorzystuje exploity w Java, a kolekcja Java-staroci u Ciebie jest.

 

 

 

.

[ryuzaki12]

fixlog:          http://wklej.org/id/1135350/

log FRST:   http://wklej.org/id/1135351/

 

Dziwne, zaznaczałem addition ale nie ma pliku. Próbowałem 3 razy.

 

Przejezyczyłem się nie chodziło mi o antycheata tylko o antywirusa oczywiscie, a czytałem że ukash własnie wykorzystuje braki aktualizacji atywirusów.

[picasso]

Dziwne, zaznaczałem addition ale nie ma pliku. Próbowałem 3 razy.

Podany tu log jest z WinRE, a przecież wyraźnie mówiłam "zaloguj się do Windows". Tylko skan spod Windows tworzy Addition, skan z poziomu WinRE wcale (mimo pozornej dostępności opcji), bo to natura tego skanu. I skan spod Windows jest znacznie szerszy.

 

 

 

Przejezyczyłem się nie chodziło mi o antycheata tylko o antywirusa oczywiscie, a czytałem że ukash własnie wykorzystuje braki aktualizacji atywirusów.

Podaj mi źródło tych treści. I jak mówię: ta infekcja Urausy (to wariant który u Ciebie występuje) wykorzystuje luki w przeglądarkach i ich wtyczkach, przede wszystkim Java. U Ciebie tragiczne wersje zainstalowane:

 

==================== Installed Programs =======================
 

Java™ 6 Update 24 (64-bit) (Version: 6.0.240)

Java™ 6 Update 29 (x32 Version: 6.0.290)

 

 

.

[ryuzaki12]

Faktycznie. Tyle razy ostatnio to robiłem, że straciłem czujność i zapomniałem sie zalogowac.

 

FRST    http://wklej.org/id/1135368/

addition http://wklej.org/id/1135369/

 

 

Sugerujesz żebym zainstalował nowszą wersje Javy?

[picasso]

Sprawa wygląda na rozwiązaną. Czynności końcowe:

 

1. Przez SHIFT+DEL skasuj folder C:\FRST i narzędzie per se (i tak trzeba je pobierać za każdym razem od nowa).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje:

 

Sugerujesz żebym zainstalował nowszą wersje Javy?

To nie jest "sugestia", to jest mus. Zawsze na końcu po czyszczeniu systemu użytkownik obowiązkowo musi wykonać podstawy w skład których m.in. wchodzi Java: KLIK. Widziane tu wersje Java to strasznie stare wersje (obecna wersja to Java 7 update 40) z mnóstwem luk i wielka gratka dla infekcji zwłaszcza kalibru "policja". Czym prędzej pełna deinstalacja. Natomiast instalacja najnowszej Java tylko wtedy, gdy jest Ci ona niezbędna do czegoś, a w przeglądarkach ustawić uruchamianie na żądanie a nie z automatu. Obecnie używanie Java jest po prostu ryzykowne, co nowa wersja wydana, to nowe exploity się ujawniają i non stop trzeba to łatać. Najlepiej Java w ogóle nie posiadać, o ile oczywiście to możliwe (brak aplikacji jej używających, nie odwiedzanie stron wykorzystujących tę technologię).

 

 

 

.

[ryuzaki12]

Wszytsko wykonłem. Dziekuję za rade odnosnie Javy i w ogóle za szybką i skuteczną pomoc.