Komputer zablokowany przez trojana weelsof - żąda kodu UKASH

[rodrigo93]

Witam serdecznie!

Jak widać w temacie mój komputer został zablokowany przez weelsof'a. Generowanie kodów nie pomaga. Używam systemu w trybie awaryjnym z obsługą sieci. Jak na laika przystało próbowałem wklejać w OTL skrypty podane w innych tego typu tematach, ale rzecz jasna to nie mogło się udać. Proszę o pomoc. Załączam raport OTL. Niestety nie wiem gdzie szukać raportów GMER w txt. Tych w formacie log nie mogę załączyć "Nie masz uprawnień do wysyłania tego typu plików".

[picasso]

Zastrzeżenia do logów:

- Log z OTL jest niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

- Log z GMER: w opisie na forum jest przecież napisane jak zapisuje się log, opcja Kopiuj i dopiero ze schowka się wkleja do Notanika, następnie zapisz jako plik TXT. Załączniki nie przyjmują formatu *.LOG = zmień nazwę pliku.

Uzupełnij te materiały, bo w logu z OTL są widoczne dwa sterowniki wskazujące na to, że tu również może być infekcja w MBR dysku.

 

 

 

 

.

[rodrigo93]

Brakujące dane

OTL.Txt

Extras.Txt

GMER wstępny.txt

GMER.txt

[picasso]

Log z GMER nie wskazuje, by infekcja w MBR dysku była czynna, wygląda na to że rootkit Mebroot tu kiedyś był i zostały po nim tylko ślady w sektorach dysku (to jest nieusuwalne, tylko zerowanie dysku może to wyczyścić). Czy przypominasz sobie usuwanie infekcji Mebroot?

Nie zwróciłam również uwagi, że log z OTL jest zrobiony ze złego konta, czyli serwisowego wbudowanego w system Administratora, który został co dopiero zainicjowany. Log należy zwrobić z poziomu konta użytkownika, na którym wystąpił problem (połowa rejestru jest inna = inny log). Na razie to już pomijam, zajmując się wstępnym usuwaniem:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [sxknapctbywuxvo] C:\Documents and Settings\All Users\Dane aplikacji\sxknapct.exe ()
O4 - Startup: C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\dwm32.exe ()
[2012-06-26 20:33:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\zacvkthcwtpfdak
[2012-06-26 20:33:09 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\fqggltepehbkpkc
[2012-06-26 20:33:04 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\bchcnupi.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)
 
:Files
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, odblokowany i otrzymasz log z wynikami usuwania.

 

2. Odinstaluj adware DAEMON Tools Toolbar oraz LiveVDO plugin 1.3. Tak, to jest ta wtyczka do odtwarzania i ... wprowadza adware w system. Popraw przez AdwCleaner z opcji Delete.

 

3. Z poziomu swojego konta zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania z punktów 1+2.

 

 

 

.

[rodrigo93]

W kroku drugim nie otrzymałem żadnych log'ów po użyciu Adwcleaner.

*dodałem brakujący załącznik

OTLkrok1.txt

OTLkrok3.Txt

AdwCleanerS3.txt

[picasso]

W kroku drugim nie otrzymałem żadnych log'ów po użyciu Adwcleaner.

 

W opisie narzędzia jest przecież powiedziane, że program generuje logi na dysku C, czyli ten z usuwania to C:\AdwCleaner[sX].txt.

 

---

Wymagane poprawki, na Twoim koncie jest więcej brudu i pusty wpis po infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-725345543-573735546-839522115-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-725345543-573735546-839522115-1005..\Run: [sxknapctbywuxvo] C:\Documents and Settings\All Users\Dane aplikacji\sxknapct.exe File not found
O4 - HKU\S-1-5-21-725345543-573735546-839522115-1005..\Run: [Gadu-Gadu 10] "C:\Program Files\Gadu-Gadu 10\gg.exe" File not found
O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) -  File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=2&cf=230e7904-83ea-11e1-8303-001e37b4e5be"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=230e7904-83ea-11e1-8303-001e37b4e5be&q="
[2012-04-11 17:22:58 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\wqyccrvd.default\searchplugins\startsear.xml
[2011-07-27 16:51:39 | 000,060,304 | ---- | C] () -- C:\Documents and Settings\Radek\g2mdlhlpx.exe
[2011-04-19 19:09:14 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\crt.dat
[2011-04-19 19:09:13 | 000,297,398 | ---- | C] () -- C:\WINDOWS\System32\shimg.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{B37EDB01-4803-459D-9451-0168A776F721}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{B37EDB01-4803-459D-9451-0168A776F721}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome nadal widoczne LiveVDO. Odinstaluj rozszerzenie, wyłącz wtyczkę. Pełne wyrzucenie wtyczki wymaga już edycji pliku Preferences wg kroków nakreślonych tu w punkcie 3: KLIK. Trzeba wziąźć poprawkę na inny system (ścieżka na XP to C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default) oraz inną nazwę wtyczki (LiveVDO zamiast vShare).

 

3. Wygeneruj nowy log OTL z opcji Skanuj. Przedstaw log z wynikami usuwania z punktu 1 oraz zaległy AdwCleaner.

 

 

 

.

[rodrigo93]

Dane w komplecie. Czy z drugim użytkownikiem również wszystko będzie ok kiedy naprawi się problem na moim?

 

P.S. po dotychczasowych działaniach chciałem sprawdzić czy trojan wciąż działa, ale pojawił się nowy problem. Nie mogę uruchomić komputera w trybie normalnym mimo że w msconfig ustawiłem go jako domyślny. Wszystko idzie ok do momentu pojawienia się loga windows na czarnym tle. Wtedy ładowanie trwa bez końca (dosłownie). Gdy na początku próbowałem zwalczyć problem, przy pomocy tdsskiller'a zastosowałem cure na rootkicie. Po tym zabiegu teoretycznie nic się nie zmieniło (windows uruchamiał się normalnie,a trojan wciąż miał się dobrze), ale niewykluczone, że może mieć to jakiś związek.

AdwCleanerS3.txt

OTLpunkt1.txt

OTL.Txt

Extras.Txt

[picasso]

Jeszcze rozszerzenie LiveVDO nie zostało odmontowane z Google Chrome:

 

CHR - Extension: LiveVDO plugin = C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\

 

 

Czy z drugim użytkownikiem również wszystko będzie ok kiedy naprawi się problem na moim?

 

O którym użytkowniku mowa? Log z konta Administrator już oglądałam. Konto było świeżo inicjowane, toteż nie miało zabrudzeń w kluczach HKCU, a co było globalne to już doczyściłam.

 

 

P.S. po dotychczasowych działaniach chciałem sprawdzić czy trojan wciąż działa, ale pojawił się nowy problem. Nie mogę uruchomić komputera w trybie normalnym mimo że w msconfig ustawiłem go jako domyślny. Wszystko idzie ok do momentu pojawienia się loga windows na czarnym tle. Wtedy ładowanie trwa bez końca (dosłownie).

 

Może tu jednak coś od rootkita Mebroot zostało... A może to sterowniki Avast brużdżą. W pierwszej kolejności jednak przedstaw co było robione:

 

 

Gdy na początku próbowałem zwalczyć problem, przy pomocy tdsskiller'a zastosowałem cure na rootkicie. Po tym zabiegu teoretycznie nic się nie zmieniło (windows uruchamiał się normalnie,a trojan wciąż miał się dobrze), ale niewykluczone, że może mieć to jakiś związek.

 

Jakim rootkicie? Pokaż log z TDSSKiller z tamtego działania, jest na dysku C.

 

 

 

.

[rodrigo93]

1.3_0 usunąłem.

 

O którym użytkowniku mowa? Log z konta Administrator już oglądałam. Konto było świeżo inicjowane, toteż nie miało zabrudzeń w kluczach HKCU, a co było globalne to już doczyściłam.

 

Mowa o użytkowniku "Viola". Przesłać z niego LOG?

 

Załączam też logi z tdsskiller. Prawdopodobnie rozwiązywanie problemu z rootkitem miało miejsce w pierwszym, ale nie mam pewności.

TDSSKiller.2.7.42.0_26.06.2012_22.29.56_log.txt

TDSSKiller.2.7.42.0_27.06.2012_13.21.36_log.txt

[picasso]

Prawdopodobnie rozwiązywanie problemu z rootkitem miało miejsce w pierwszym, ale nie mam pewności.

 

Pierwszym, zawartość logów jest przecież jednoznaczna. A to jednak tu był świeżutki rootkit w MBR dysku, tak jak wskazywały na to znaki w logach wstępnych. Leczyłeś tuż przed, dlatego w GMER już tylko ślady (one zawsze po leczeniu pozostają). W związku z tym, że rootkit jakoby zdaje się uleczony:

 

Nie mogę uruchomić komputera w trybie normalnym mimo że w msconfig ustawiłem go jako domyślny. Wszystko idzie ok do momentu pojawienia się loga windows na czarnym tle. Wtedy ładowanie trwa bez końca (dosłownie).

 

Sprawdźmy jednak koncepcję z Avast. Z poziomu Trybu awaryjnego odinstaluj go, następnie popraw przez Avast Uninstall Utility. Zresetuj system i podaj czy jest jakaś zmiana w sekwencji bootowania.

 

 

Mowa o użytkowniku "Viola". Przesłać z niego LOG?

 

Na wszelki wypadek podaj.

 

 

PS. Logi z OTL to już tu były zbędne dla potwierdzenia takiej bzdury. I wystarczy mi tylko jeden log z TDSSKiller pokazujący brak wykrytej infekcji. Ścinam nadwyżkę.

 

 

.

[rodrigo93]

Odinstalowałem Avast i poprawiłem przez Avast Uninstall Utility, ale nie rozwiązało to problemu.

Zero zmian.

 

Załączam LOGi z drugiego użytkownika.

OTLWioleta.Txt

ExtrasWioleta.Txt

[picasso]

GMER niepotrzebny (usuwam), GMER patrzy globalnie. To pobór danych w OTL wykazuje różnicę przy zalogowaniu na odmienne konta. Na koncie Violeta nie ma prawie nic do roboty. Z poziomu tego konta do OTL wklej poniższy skrypt i klik w Wykonaj skrypt.

 

:OTL
O3 - HKU\S-1-5-21-725345543-573735546-839522115-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.

 

Logów już nie muszę oglądać.

 

 

Odinstalowałem Avast i poprawiłem przez Avast Uninstall Utility, ale nie rozwiązało to problemu.

 

Hmmm, skoro był tu rootkit MBR, to dla pewności przebij kod MBR z poziomu środowiska zewnętrznego. Zastartuj z płyty do Konsoli Odzyskiwania i wpisz komendy: fixmbr i fixboot.

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso