Ukash i nie tylko

[kizo]

Witam, mam problem złapałem uksha po wielkim trudzie udało mi się go usunąć. Ogólnie zablokował mi przywracanie systemu itp ale udało się teraz przy włączaniu komputera pojawia mi się okno z napisem "c:\progra-3\a1rjzljr.plz" ogólnie komputer chodzi jak powinien jestem typowym laikiem w tych sprawach więc proszę o pomoc. Daje log z malwarebytes jeśli potrzbny jest inny dajcie wskazówkę jak go zrobić. Proszę o pomoc z góry dziękuje.

MBAM-log-2013-09-21 (14-42-57).txt

[picasso]

Ale przecież podane dane są mierne, całkowity brak informacji jaki jest bieżący stan systemu. Zasady działu jakie raporty się tu podaje: KLIK. Czyli proszę dodać logi z FRST i OTL.

 

 

.

[kizo]

Z góry przepraszam znam się na PC tyle co nic... podaje:

 

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

[picasso]

Uwagi wstępne:

- Był używany ComboFix. Dlaczego nie jest to sprytne, zwłaszcza gdy się jest laikiem: KLIK.

- Infekcja nie została dobrze wyczyszczona, zostały jej składniki, m.in. martwy skrót startowy, stąd błąd.

- Są także rozmaite reklamodawcze śmieci adware. I przestroga, widzę na dysku plik Malwarebytes-AntiMalware(13117).exe = to nie jest prawdziwy instalator MBAM tylko "Asystent pobierania" dobrychprogramów.pl, który instaluje śmieci w systemie! Należy uważać i nie pobierać w tym serwisie z dużego przycisku "Pobierz" (on celowo zwraca uwagę), tylko wybrać opcję "Linki bezpośrednie" (tu jest czysty program), a najlepiej omijać wszelkie portale i pobierać bezpośrednio ze strony producenta. Należy też uważać instalując sam program jako taki, uważnie patrzyć co jest domyślnie zaznaczone w instalatorze, bo często opcje opisane jako "Zalecane" / "Recommended" nie mają nic wspólnego z programem i są zgodą na instalacje sponsorów i reklamiarzy.

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\bowlwlt.ctrl
C:\ProgramData\bowlwlt.pff
C:\ProgramData\rjlzjr1a.ctrl
C:\ProgramData\rjlzjr1a.pff
C:\ProgramData\rjlzjr1a.reg
C:\Users\Ozi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rjlzjr1a.lnk
C:\Users\Ozi\AppData\Roaming\cache.ini
C:\Users\Ozi\AppData\Roaming\0C1I1L1R1J0M1P0I1G
C:\Users\Ozi\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I
C:\Users\Ozi\AppData\Roaming\BabSolution
C:\Users\Ozi\AppData\Roaming\Babylon
C:\Users\Ozi\AppData\Roaming\DriverCure
C:\Users\Ozi\AppData\Roaming\GoforFiles
C:\Users\Ozi\AppData\Roaming\OpenCandy
C:\Users\Ozi\AppData\Roaming\ParetoLogic
C:\Users\Ozi\AppData\Roaming\PerformerSoft
C:\Users\Ozi\AppData\Roaming\YourFileDownloader
C:\Users\Ozi\AppData\Local\WebPlayer
C:\Users\Ozi\AppData\Local\Google\Chrome
C:\Users\Ozi\Desktop\Malwarebytes-AntiMalware(13117).exe
C:\Users\Ozi\Security
C:\User Data
C:\ProgramData\BitGuard
C:\Program Files (x86)\Minibar
C:\Program Files (x86)\BonanzaDeals
HKLM-x32\...\Run: [ConvertAd] - C:\Users\Ozi\AppData\Local\ConvertAd\ConvertAd.exe [1784832 2013-08-10] (TODO: )
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=7A61001F1F0656BC&affID=124742&tsp=5005
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?affID=116220&tt=4412_5&babsrc=HP_ss&mntrId=7a61c9c2000000000000001f1f0656bc
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4783D86F-25D9-11E2-B5FB-E88695DB8A5A}
SearchScopes: HKCU - bProtectorDefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKCU - {015DCE87-D2DD-45B4-B625-4A11EE1C3A59} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7761968F-6BA2-4FB0-91A3-7F14BD87D134&apn_sauid=845D3666-F257-4642-AA3E-B084F0393BEF
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7A61001F1F0656BC&affID=124742&tsp=5005
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4783D86F-25D9-11E2-B5FB-E88695DB8A5A}
BHO: No Name - {336D0C35-8A85-403a-B9D2-65C292C39087} - No File
BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions)
BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll No File
BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKLM-x32 - No Name - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - No File
Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox
FF HKCU\...\Firefox\Extensions: [{eb865f6a-a922-424b-abd5-a19d0f5301d1}] - C:\Program Files (x86)\Lyrmix\132.xpi
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF210245102451&ts=1378745199
Task: {0ED5B08E-93A4-40CA-982C-072F7B2E325F} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe
Task: {E9C50EAD-BC90-4F94-BCFA-73E6E04BEF94} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe
Task: {EDA9BA3F-6DCD-469C-9830-9B95799FCDB9} - System32\Tasks\Lyrmix Update => C:\Program Files (x86)\Lyrmix\LymxUD.exe
Task: {FFF891E9-7297-4C51-B196-29396564413E} - System32\Tasks\EPUpdater => C:\Users\Ozi\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] ()
S2 IB Updater Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware:

 

AppsHat Mobile Apps, Bundled software uninstaller, ConvertAd, Delta Chrome Toolbar, Delta toolbar, FilesFrog Update Checker, IB Updater 2.0.0.575, IB Updater Service, Internet Explorer Toolbar 4.6 by SweetPacks, Lyrmix, McAfee Security Scan Plus, Optimizer Pro v3.2, Qtrax Player (dwie pozycje), SweetPacks bundle uninstaller, Wsys Control 10.2.1.2634

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła zostaną zachowane.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[kizo]

Usunołem nie mogę usunąć IB Updater 2.0.0.575 wyskakuje mi "Rutime error (at 54:667) could not call proc"

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

[picasso]

Ale to jest log AdwCleaner z opcji Szukaj a nie Usuń. Czy na pewno usuwanie było wdrożone? Jeśli tak, zaprezentuj log o nazwie AdwCleanerS0.txt. Jeśli nie, oczywiście usuwanie wdróż i podaj stosowny log wynikowy.

 

 

nie mogę usunąć IB Updater 2.0.0.575 wyskakuje mi "Rutime error (at 54:667) could not call proc"

AdwCleaner powinien się tym zająć. W podanym logu widać detekcję tego wejścia na liście zainstalowanych programów.

 

 

 

.