Kod UCASH - Vista się nie uruchamia

[wetxxx]

Witam

dostałem komputer kolegi z nieźle zainfekowanym systemem MS Vista. Na początku wyświetla się ucash, co jest dalej aż boję się pomyślić.

 

Proszę o analizę loga i skrypy co trzeba ew. usunąć.

 

Pozdrawiam

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000..\Run: [abnrytmetlkuwzt] C:\ProgramData\abnrytmetlkuwztjxqgn.exe ()
O4 - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000..\Run: [KeApplet] C:\Users\Kiciucha\AppData\Roaming\vlc\{33EC570B-5BE7-413D-B3E1-3562B3800B45}\UpgradeHelper.exe File not found
[2012-05-23 17:32:41 | 000,000,448 | ---- | C] () -- C:\ProgramData\rujkfxoeautkskh
[2012-05-23 17:32:39 | 000,057,344 | ---- | C] () -- C:\Users\Kiciucha\ms.exe
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A210C2A0-CA9D-404A-B197-A828901A9F11}"
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109980&babsrc=SP_ss&mntrId=1a2837c600000000000000216b457b8c"
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=UG&apn_dtid=YYYYYYYYPL&apn_uid=8E60609E-F922-4977-A0A5-655BDE991E08&apn_sauid=5B115DD7-C2BE-473B-9F94-F9914E939413"
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=mKNf71ympCGAI7ND73WQx9vy16k?q={searchTerms}"
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280"
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A210C2A0-CA9D-404A-B197-A828901A9F11}"
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4316210F-B527-4A1B-B8EA-2B01152133CC}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4316210F-B527-4A1B-B8EA-2B01152133CC}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przez panel sterowania odinstaluj śmieci: Ask Toolbar, SweetPacks Toolbar for Internet Explorer 4.4, Softonic-Eng7 Toolbar. Popraw przez AdwCleaner z opcji Delete.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania OTL + AdwCleaner.

 

 

 

 

.

[wetxxx]

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania OTL + AdwCleaner.

 

Czy ponowne skanowanie OTL i AdvCleaner przeprowadzić z normalnie uruchomieniu systemu czy z trybu awaryjnego?

[picasso]

Z poziomu Trybu normalnego. Skrypt OTL uwolni system od owej "prośby o kod".

[wetxxx]

Z poziomu Trybu normalnego. Skrypt OTL uwolni system od owej "prośby o kod".

Tak już się system uwonił Zanim odpisałaś, sam spróbowałem zrobić swój skrypt do usunięcia śmieci. Chyba większość udąło mi się usunąć, kończę robić na tym zainfekowanym laptopie ponowny raport OTL i zamieszcze również jego. Pisałaś wyżej, żeby zamieścić też log z usuwania OTL gdzie on się zanjduje?

[picasso]

Zanim odpisałaś, sam spróbowałem zrobić swój skrypt do usunięcia śmieci.

 

Ten zaprezentuj co robiłeś.

 

 

Pisałaś wyżej, żeby zamieścić też log z usuwania OTL gdzie on się zanjduje?

 

Log z usuwania otwiera się automatycznie. A jeśli nie, wszystko jest w katalogu E:\_OTL (gdyż OTL startowałeś z E).

 

 

.

[wetxxx]

oki u mnie w _OLT nie ma nic to.

 

W załączeniu moje skrypty, fix 2 modyfikowałem kilkakrotnie, to jest ostatania wersja.

fix.Txt

fix2.Txt

[wetxxx]

A tutaj ponowne raporty po restarcie. Bałem się na tym zainfekowanym laptopie uruchamiać internet, tak na wszelki wypadek. chciałbym ściągnać jeszcz mojemu koledze aktualizacje do visty i antyvirusa (aktualnie ma Avasta w wersji bezpłatnej) nie wiem czy jest obecnie coś lepszego za free?

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zamąciłeś tym skryptem. Komentarze w spoilerze:

 

 

 

1. Najpierw robi się deinstalację pasków, a po tym usuwanie w skrypcie resztek. Deinstalacja może więcej nic skrypt. Skrypt tylko usuwa "powierzchownie".

 

2. Kilka rzeczy nie powinno zostać usunięte, wywaliłeś wszystkie wyszukiwarki IE (SearchScopes), nawet te prawidłowe, i nie ustawiłeś domyślnej (DefaultScope). Poza tym:

 

:OTL
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found

 

Jaki cel resetu Proxy, skoro jest wyłączone (na zerze)? Wpis RealPlayer to pozorne "not found" (tylko dlatego że OTL tak to przedstawia), to jest całość:

 

FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.448: C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found

 

Wpisy załączone w :Reg są prawidłowe, a nawet gdybyś je chciał usuwać to to w ogóle się nie wykona, w :Reg należy zrobić import wg formatowania rejestru a nie przeklejanki wprost z OTL Extras.

 

:Commands
[emptytemp]
[emtyflash]
[emtyjava]
[clearallrestorepoints]

 

To jest bez sensu. [emptytemp] zawiera [emtyflash] + [emtyjava], a [clearallrestorepoints] nie działa na platformach Vista i Windows 7 (tylko na XP robi co w nazwie, na nowszych może tylko utworzyć nowy punkt Przywracania systemu).

 

[2011-07-24 10:50:37 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011-07-24 10:50:34 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2011-07-24 10:50:34 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011-07-24 10:50:34 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011-07-24 10:50:34 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe

 

To pliki ComboFix. Usuwa je Sprzątanie w OTL (do czego jeszcze nie zmierzamy).

 

[2012-02-05 15:53:46 | 000,000,376 | ---- | C] () -- C:\Windows\ODBC.INI
[2011-08-29 20:46:32 | 000,479,232 | ---- | C] () -- C:\Windows\ssndii.exe
[2011-05-13 10:16:55 | 000,000,071 | ---- | C] () -- C:\Windows\iltwain.ini

 

To prawidłowe pliki. Pliki INI systemowe, a wykonywalny Samsunga. Przywróć je z kwarantanny OTL, szukaj katalogu _OTL na innych dyskach niż E.

 

 

 

 

1. Zmasakrowane wyszukiwarki Internet Explorer, system nie ma aktualnie żadnej. Należy uruchomić Internet Explorer i z galerii coś doinstalować oraz ustawić domyślną wyszukiwarkę.

 

2. Ciąłeś pasek Google Toolbar, więc go teraz odinstaluj w prawidłowy sposób.

 

3. Poprawka na pozostałe wpisy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=]
"XPTPath"="C:\Program Files\Real Alternative\browser\components\nsJSRealPlayerPlugin.xpt"
 
:OTL
FF - prefs.js..extensions.enabledItems: {9CE11043-9A15-4207-A565-0C94C42D590D}:2.0
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190
FF - prefs.js..extensions.enabledItems: gutscheinmieze@synatix-gmbh.de:1.03
FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
[2011-04-25 09:42:21 | 000,000,143 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\foxsearch.src
O3 - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)

 

Klik w Wykonaj skrypt.

 

4. Zrób skan dostosowany w OTL na ten klucz, w którym chciałeś mieszać, czy przypadkiem tam się jednak nie zaimportowało jakieś kuriozum. W sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

 

Klik w Skanuj (a nie Wykonaj skrypt).

 

 

 

 

.

[wetxxx]

Oki, nie miałem dostępu do normalnego windowsa, przeciez uruchamiał mi się komputer z planszą, że musze coś tam zapłacić i wklepać kod

Stąd zacząłem od usuwania pasków i trochę się zapędziłem

 

Dam znać jak ww. poprawki wdrożę.

 

Załączam jeszcze raz log

 

Wielkie dzięki za pomoc i poświęcony czas

OTL.Txt

[picasso]

Oki, nie miałem dostępu do normalnego windowsa, przeciez uruchamiał mi się komputer z planszą, że musze coś tam zapłacić i wklepać kod

 

Dlatego w mojej instrukcji jest określona kolejność: z poziomu Trybu awaryjnego odblokowanie komputera (przede wszystkim usunięcie wpisu trojana + od razu rzeczy, których deinstalacja raczej nie ruszy = wyszukiwarki), dopiero po tym deinstalacje i dopiero po nich AdwCleaner. Na koniec sprawdzenie logów co pozostało po tym procesie.

 

 

---

Czy Ty na pewno wykonałeś punkt 1? Jak było łyso, tak jest nadal i widoczna dewastacja wyszukiwarek IE:

 

IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2053973658-3713036395-3022376170-1000\..\SearchScopes,DefaultScope = 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"DisplayName"="@ieframe.dll,-12512"
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"DisplayName"="Bing"
@="Live Search"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"TopResultURLFallback"="http://www.bing.com/search?q={searchTerms}&src=ie9tr"
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"FaviconPath"="C:\\Users\\Kiciucha\\AppData\\LocalLow\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal

 

2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - prefs.js..browser.search.selectedEngine: "foxsearch"

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log z OTl, ale skrócony (nie potrzebne już tak szerokie spectrum danych). Ustaw Rejestr na Użyj filtrowania, a resztę sekcji na Brak + Żadne.

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso