Zablokowanie komputera przez trojana Weelsof, który żąda kodu UKASH

[Bdg]

Witam wszystkich!

 

Proszę o pomoc w odblokowaniu komputera, który został zainfekowany wirusem, a konkretnie trojanem Weelsof opisanym na stronie CERT Polska (hxxp://www.cert.pl/news/5483). Komputer został zablokowany i żąda kodu UKASH. Obecnie można go uruchomić wyłącznie w trybie awaryjnym z wierszem poleceń. Wpisywanie kodów z generatora na stronie CERT-u nie pomogło. W przypadku odłączenia internetu wyświetlała się strona sygnalizująca brak połączenia z serwerem. Na komputerze zainstalowany jest system operacyjny Windows XP.

 

Bardzo proszę o pomoc w odblokowaniu komputera.

 

Pozdrawiam!

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Ten trojan modyfikuje wpis inicjujący powłokę graficzną explorer.exe, dlatego w Trybie awaryjnym z Wierszem polecenia wszystko działa. Log z GMER wskazuje tu jeszcze obecność drugiej infekcji, czyli rootkita RLoader:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text         atapi.sys         F74987B4 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 1.0.15 ----
 
Thread        System [4:180]    841D60F4

 

Znaki jego działania to strona Google z błędem 404 oraz nie działające pola Captcha.

 

 

1. Z poziomu Trybu awaryjnego uruchom OTL i do okna Własne opcje skanowania / skrypt wklej:

 

:OTL
O20 - HKLM Winlogon: Shell - (D:\DOCUME~1\monika\USTAWI~1\Temp\~!#34.tmp) - D:\Documents and Settings\monika\Ustawienia lokalne\Temp\~!#34.tmp ()
[2012-06-13 22:47:24 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Dane aplikacji\529C50AB0005779B63354B8B8DB91C90
[2011-05-26 22:57:59 | 000,000,000 | ---D | M] -- D:\Documents and Settings\monika\Dane aplikacji\BabylonToolbar
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - D:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKU\S-1-5-21-1123561945-1604221776-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-1604221776-725345543-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-1604221776-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [NWEReboot]  File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://D:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- D:\DOCUME~1\monika\USTAWI~1\Temp\hpdj.exe -- (hpdj)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\GtVUsb.sys -- (GtVUsb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gtscser.sys -- (GTSCSER)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gtptser.sys -- (GTPTSER)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gtmserusb.sys -- (GTMSERUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Gtm51Irp.sys -- (GTMNDISIRPXP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gtmmdmusb.sys -- (GTMMDMUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gtffbus.sys -- (GTFFBUS)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"80:TCP"=-
"53:UDP"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\WINDOWS\Temp\temp44.exe"=-
"D:\WINDOWS\Temp\temp20.exe"=-
"D:\WINDOWS\Temp\temp74.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Po restarcie system powinien zostać odblokowany i możesz w msconfig w karcie BOOT.INI z powrotem przestawić na normalny rozruch.

 

2. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz akcję Cure. Zatwierdź restart systemu. Z tej akcji powstanie na dysku D log.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz log z wynikami usuwania wygenerowany w punkcie 1 + log z TDSSKiller z punktu 2.

 

 

 

.

[Bdg]

Jestem pod wielkim wrażeniem. Nie tylko profesjonalna pomoc, ale również błyskawiczna.

Po postępowaniu zgodnie ze wskazówkami komputer rzeczywiście został odblokowany za co bardzo dziękuję.

Zamieszczam kolejną porcję logów.

OTL - log z wynikami usuwania_.txt

TDSSKiller - log.txt

OTL - nowy log.Txt

GMER - nowy log.txt

[picasso]

Zgodnie z planem, skrypt OTL usunął trojana UKASH i inne odpadki, a TDSSKiller znokautował rootkita Virus.Win32.Rloader.a. GMER nie pokazuje już tych modyfikacji będących pochodną rootkita. Możemy przejść do dalszych porządków. Drobniejsze wpisy nie puściły, OTL nie widzi ich w prawidłowy sposób.

 

1. Przez SHIFT+DEL skasuj te katalogi (cyfrowy twór to folder infekcji):

 

D:\Documents and Settings\All Users\Dane aplikacji\529C50AB0005779B63354B8B8DB91C90

D:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

D:\Documents and Settings\All Users\Dane aplikacji\F-Secure

D:\Documents and Settings\monika\Dane aplikacji\BabylonToolbar

D:\TDSSKiller_Quarantine

 

2. Start > Uruchom > regedit i z prawokliku skasuj te klucze (Firefox wygląda na odinstalowany):

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla*

 

(* = wszystkie klucze zaczynające się od tego słowa)

 

3. Zastosuj AdwCleaner z opcji Delete i zaprezentuj wynikowy log.

 

 

 

.

[Bdg]

Wszystkie punkty wykonane. Zamieszczam log z AdwCleaner.

AdwCleanerS1.txt

[picasso]

Przechodzimy do wykończeń:

 

1. AdwCleaner dopatrzył się jeszcze klucza Google Chrome w rejestrze. OTL Extras nie wskazuje, by cokolwiek od Google było zainstalowane. Toteż via regedit usuń klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Google

HKEY_CURRENT_USER\Software\Google

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner zastosuj Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Posiadasz dwa skanery, Pandę i MBAM. Wykonaj za ich pomocą pełne skanowanie dla potwierdzenia, iż nie jest nic dodatkowego gdzieś zaplątane. Gdyby coś zostało znalezione, przedstaw wyniki.

 

 

 

 

.

[Bdg]

Wszystkie czynności wykonane.

Ani Panda Antivirus, ani Malwarebytes' Anti-Malware nie wykryły żadnych zagrożeń.

Z całą pewnością jest to najbardziej profesjonalne forum jakie widziałam.

Nie dość, że jest ono przejrzyste a na każdym kroku podane są informacje jak należy skonfigurować dany program,

to jeszcze można otrzymać szczegółowe instrukcje, co należy wykonać, dlaczego i w jaki sposób.

Picasso podziwiam Twoją wiedzę i jeszcze raz bardzo dziękuję za pomoc.

[picasso]

Ostateczne zakończenie tematu:

 

1. Wymagane aktualizacje, dużo aktualizacji: KLIK. Twój wykaz pokazuje krytyczny status zabezpieczeń platformy (nie ma SP3+IE8), reszta wyliczonych także wymaga aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> brak SP3
"Opera 11.64.1403" = Opera 11.64

 

PS. Jeśli szukasz alternatyw dla ciężkiego reklamodawczego GG10, to mój artykuł do wglądu: Darmowe komunikatory. Propozycje: WTW, Miranda, Kadu, AQQ.

 

2. Dla bezpieczeństwa prewencyjna wymiana haseł logowania w serwisach.

 

 

Z całą pewnością jest to najbardziej profesjonalne forum jakie widziałam.

 

Bardzo miło mi to słyszeć.

 

 

 

 

.