Infekcja "ukash" zablokowała przeglądarkę internetową

[Lobo123]

Witam.
Mam problem z infekcją potocznie zwaną ukash, z tym że jedynym objawem jest blokada przeglądarki internetowej (korzystam z Firefox) a nie całego komputera.
Korzystając ze strony hxxp://seriale.moje.pl, player przy włączaniu filmu otworzył mi 2 nowe okna przeglądarki, jedno standardowo z reklamą, drugie z pseudo policyjną stroną o moim przestępstwie i konieczności zapłacenia grzywny.
Okna tego nie można zamknąć, pojawia się komunikat od przeglądarki że strona wymaga potwierdzenia jej opuszczenia. Guzik "opuść stronę" powoduje błyskawiczne ponowne pojawienie się tego samego komunikatu.

Główne okno przeglądarki (i jego zakładki) działa poprawnie, mogę również korzystać normalnie z komputera.
Niemożliwe jest tylko zamknięcie okna wymuszającego zapłatę "ukash".

Daemon tools lite odinstalowany (wcześniej usunąłem dysk wirtualny), sterowniki wyłączone za pomocą SPTDinst, nie zabierałem się za kasowanie ich w rejestrze.

Skan GMER wywala do bluescreen, więc zrobiłem skan w trybie awaryjnym (pełny skan dysku c). W trybie awaryjnym "zainfekowane" okno zamknąłem, nie było komunikatu o potwierdzeniu opuszczenia strony.
Co ciekawe, po restarcie i uruchomieniu komputera w normalnym trybie okno juz się nie pojawia przy uruchamianiu przeglądarki.

 

Logi:

 

Results of screen317's Security Check version 0.99.74  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:``````````````
COMODO Antivirus   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:`````````
 SlimCleaner     
 Java 7 Update 5  
 Java 7 Update 25  
 Java version out of Date!
 Adobe Flash Player 11.8.800.168  
 Mozilla Firefox (24.0)
 Google Chrome 20.0.1132.47  
````````Process Check: objlist.exe by Laurent````````  
 Comodo Firewall cmdagent.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

 

 

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-10-20 20:52:33
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.JEDO 596,17GB
Running: xkfo65ht.exe; Driver: C:\Users\owsiej\AppData\Local\Temp\awrdipog.sys


---- Registry - GMER 2.1 ----

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0025d3b2962e                           
Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\742f689f5629                           
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0x00 0x00 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg  HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0x46 0x4F 0x85 0x73 ...
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0025d3b2962e (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\742f689f5629 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0x00 0x00 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg  HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x46 0x4F 0x85 0x73 ...

---- EOF - GMER 2.1 ----


Nie wiem czy komputer jest zainfekowany, czy tylko strona miała jakiś skrypt, który uniemożliwiał jej zamknięcie (szkoda że nie pomyślałem żeby skopiować adres strony, nie spodziewałem się, że problem zniknie i uda się ją zamknąć).

 

Około roku temu miałem już infekcję "ukash", ale blokującą cały komputer, z czym zwróciłem sie z prośbą o pomoc na tym forum. Być może to istotne.
Link do mojego wątka: https://www.fixitpc.pl/topic/9536-komputer-zostal-zablokowany-ukash/?do=findComment&comment=69954

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

W trybie awaryjnym "zainfekowane" okno zamknąłem, nie było komunikatu o potwierdzeniu opuszczenia strony.

Co ciekawe, po restarcie i uruchomieniu komputera w normalnym trybie okno juz się nie pojawia przy uruchamianiu przeglądarki.

 

Nie wiem czy komputer jest zainfekowany, czy tylko strona miała jakiś skrypt, który uniemożliwiał jej zamknięcie (szkoda że nie pomyślałem żeby skopiować adres strony, nie spodziewałem się, że problem zniknie i uda się ją zamknąć).

Jak sądzę, były czynniki które spowodowały niemożność pełnej instalacji infekcji. Widzę w Firefox zainstalowany NoScript, w tle działał COMODO.

 

Brak oznak infekcji w raportach. Tylko drobne działania porządkowe:

 

1. Usunięcie wpisów szczątkowych. Otwórz Notatnik i wklej w nim:

 

Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x]
S3 vtany; \??\C:\Windows\vtany.sys [x]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\Razer\Razer Game Booster\Driver\WinRing0x64.sys [x]
S3 X6va005; \??\C:\Users\owsiej\AppData\Local\Temp\0057C21.tmp [x]
S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [x]
S3 X6va009; \??\C:\Windows\SysWOW64\Drivers\X6va009 [x]
AlternateDataStreams: C:\ProgramData:gs5sys
AlternateDataStreams: C:\Users\All Users:gs5sys
AlternateDataStreams: C:\Users\owsiej:gs5sys
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
AlternateDataStreams: C:\ProgramData\Templates:gs5sys
AlternateDataStreams: C:\Users\owsiej\Cookies:gs5sys
AlternateDataStreams: C:\Users\owsiej\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\owsiej\Ustawienia lokalne:gs5sys
AlternateDataStreams: C:\Users\owsiej\Desktop\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\owsiej\AppData\Local:gs5sys
AlternateDataStreams: C:\Users\owsiej\AppData\Roaming:gs5sys
AlternateDataStreams: C:\Users\owsiej\AppData\Local\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\owsiej\AppData\Local\Historia:gs5sys
C:\Windows\SysWOW64\npptNT2.sys
C:\Users\owsiej\AppData\Local\Google
C:\Users\owsiej\AppData\Local\1C
C:\Users\owsiej\AppData\Roaming\0ad

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Wyczyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner.

 

3. Do aktualizacji poniższe pozycje: KLIK. Przeczytaj też dodatkowy wątek o Java.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox

Adobe Shockwave Player 12.0 (x32 Version: 12.0.2.122)

Java 7 Update 25 (x32 Version: 7.0.250)

Java™ 7 Update 5 (x32 Version: 7.0.50)

Skype™ 5.10 (x32 Version: 5.10.116)

 

 

 

 

.

[Lobo123]

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-10-2013

Ran by owsiej at 2013-10-22 23:32:12 Run:1

Running from C:\Users\owsiej\Desktop

Boot Mode: Normal

==============================================

 

Content of fixlist:

*****************

Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]

S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]

S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x]

S3 vtany; \??\C:\Windows\vtany.sys [x]

S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\Razer\Razer Game Booster\Driver\WinRing0x64.sys [x]

S3 X6va005; \??\C:\Users\owsiej\AppData\Local\Temp\0057C21.tmp [x]

S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [x]

S3 X6va009; \??\C:\Windows\SysWOW64\Drivers\X6va009 [x]

AlternateDataStreams: C:\ProgramData:gs5sys

AlternateDataStreams: C:\Users\All Users:gs5sys

AlternateDataStreams: C:\Users\owsiej:gs5sys

AlternateDataStreams: C:\ProgramData\Application Data:gs5sys

AlternateDataStreams: C:\ProgramData\Templates:gs5sys

AlternateDataStreams: C:\Users\owsiej\Cookies:gs5sys

AlternateDataStreams: C:\Users\owsiej\Dane aplikacji:gs5sys

AlternateDataStreams: C:\Users\owsiej\Ustawienia lokalne:gs5sys

AlternateDataStreams: C:\Users\owsiej\Desktop\desktop.ini:gs5sys

AlternateDataStreams: C:\Users\owsiej\AppData\Local:gs5sys

AlternateDataStreams: C:\Users\owsiej\AppData\Roaming:gs5sys

AlternateDataStreams: C:\Users\owsiej\AppData\Local\Dane aplikacji:gs5sys

AlternateDataStreams: C:\Users\owsiej\AppData\Local\Historia:gs5sys

C:\Windows\SysWOW64\npptNT2.sys

C:\Users\owsiej\AppData\Local\Google

C:\Users\owsiej\AppData\Local\1C

C:\Users\owsiej\AppData\Roaming\0ad

*****************

 

"HKLM\SYSTEM\CurrentControlSet\Services\sptd" => Key unlocked successfully.

sptd => Service deleted successfully.

EagleX64 => Service deleted successfully.

NPPTNT2 => Service deleted successfully.

vtany => Service deleted successfully.

WinRing0_1_2_0 => Service deleted successfully.

X6va005 => Service deleted successfully.

X6va008 => Service deleted successfully.

X6va009 => Service deleted successfully.

C:\ProgramData => ":gs5sys" ADS removed successfully.

"C:\Users\All Users" => ":gs5sys" ADS not found.

C:\Users\owsiej => ":gs5sys" ADS removed successfully.

"C:\ProgramData\Application Data" => ":gs5sys" ADS not found.

"C:\ProgramData\Templates" => ":gs5sys" ADS not found.

"C:\Users\owsiej\Cookies" => ":gs5sys" ADS not found.

"C:\Users\owsiej\Dane aplikacji" => ":gs5sys" ADS not found.

"C:\Users\owsiej\Ustawienia lokalne" => ":gs5sys" ADS not found.

C:\Users\owsiej\Desktop\desktop.ini => ":gs5sys" ADS removed successfully.

C:\Users\owsiej\AppData\Local => ":gs5sys" ADS removed successfully.

C:\Users\owsiej\AppData\Roaming => ":gs5sys" ADS removed successfully.

"C:\Users\owsiej\AppData\Local\Dane aplikacji" => ":gs5sys" ADS not found.

"C:\Users\owsiej\AppData\Local\Historia" => ":gs5sys" ADS not found.

C:\Windows\SysWOW64\npptNT2.sys => Moved successfully.

C:\Users\owsiej\AppData\Local\Google => Moved successfully.

C:\Users\owsiej\AppData\Local\1C => Moved successfully.

C:\Users\owsiej\AppData\Roaming\0ad => Moved successfully.

 

==== End of Fixlog ====

[Lobo123]

Chyba mój wątek zagubił się pod innymi.

Czy to już wszystko co było do zrobienia przeze mnie?

 

Edit: znalazłem przypadkiem wątek na forum o Twojej nieobecności picasso.

Zobaczmy czy edycja odświeży mój temat. Oczywiście komputer już nie fisiuje, więc mogę cierpliwie poczekać jeśli masz natłok pracy:)

 

Niestety edycja nie odświeża tematu.

[picasso]

Skrypt wykonany, więcej tu do roboty już nie ma. Przez SHIFT+DEL skasuj folder C:\FRST i wykonaj punkty 2+3 z mojego poprzedniego posta (czas grubszy upłynął, sprawdź dokładnie ile programów wymaga aktualizacji).

 

 

 

.