Zaraza ukash

[majkbe]

witam, przed chwilą wyszukałem wątek poprzedniego nieszczęsnika i widziałem, że użytkownik picasso umiał pomoc mam nadzieje ze mi tez pomozesz, oczywiscie pomoc innych użytkowników jak najbardziej widziana.

 

zamieszczam log z otl

 

skan zgmera juz sie robi

OTL.Txt

Extras.Txt

[picasso]

majkbe, zasady działu do wglądu. Nie został dostarczony obowiązkowy log z GMER pod kątem infekcji typu rootkit. UKASH to nie jedyna infekcja w tym systemie, tu jest także trojan ZeroAccess. Wymagany skan dodatkowy definiujący punkt ładowania ZeroAccess. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy log.

 

 

 

.

[majkbe]

Log:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:45 on 27/06/2012 by Administrator

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{ce2d2bd0-2450-a388-3b05-57c64cfa1ac8}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\system32\services.exe --a---- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\dllcache\services.exe --a--c- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

 

-= EOF =-

[picasso]

W Twoim przypadku leczenie będzie bardziej skomplikowane, bo jak mówię działa tu trojan ZeroAccess.

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v sbatsc /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v vajrxeaybbwdxci /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bobik /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}" /f
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-9D20-520B59A9F9B2}" /f
sc delete Ambfilt
sc delete Monfilt
sc delete EagleNT

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\WINDOWS\Installer\{ce2d2bd0-2450-a388-3b05-57c64cfa1ac8}
"C:\Documents and Settings\majkel\Ustawienia lokalne\Dane aplikacji\{ce2d2bd0-2450-a388-3b05-57c64cfa1ac8}"
"C:\Documents and Settings\All Users\Dane aplikacji\gdbddijdwstkhdi"
 
DeleteFile:
"C:\Documents and Settings\All Users\Dane aplikacji\vzucdpzo.exe"
"C:\Documents and Settings\All Users\Dane aplikacji\vajrxeay.exe"
"C:\Documents and Settings\All Users\Dane aplikacji\mtfoeiguigfptnw"
C:\WINDOWS\System32\svchostwb.dll
C:\WINDOWS\System32\svchosthk.dll
C:\WINDOWS\System32\rinst.exe
C:\WINDOWS\System32\pk.bin
C:\WINDOWS\System32\inst.dat
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wymagany reset katalogu sieciowego Winsock przekierowanego przez ZeroAccess: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera.

 

4. Przejdź do Dodaj / Usuń programy i odinstaluj adware gry Toolbar, MyPlayCity Toolbar, ShopperReports, Winamp Toolbar, również BlazingTools Perfect Keylogger.

 

5. Zastosuj narzędzie AdwCleaner z opcji Delete.

 

6. Załącz logi z BlitzBlank i AdwCleaner. Zrób log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Ponadto nowe logi OTL z opcji Skanuj oraz zaległy GMER. Z tym, że by GMER był prawidłowo wykonany jest konieczne usunięcie sterownika SPTD emulacji napędów wirtualnych (KLIK).

 

 

 

.

[majkbe]

skan z gmera jeszcze sie robi przestac skanowac , zrobic to co napisałes teraz czy dopiero po skanie?

[picasso]

Przerwij ten skan z GMER, zrobisz go po wykonaniu zadanego usuwania. Przypominam: sterownik SPTD od wirtualnych napędów musi być usunięty przed skanem GMER.

 

PS. Napisałam. Nie jestem facetem.

 

 

.

[majkbe]

juz robie, przepraszam

 

Własnie zakonczyło sie skanowanie i co teraz wrzucic loga czy nie warty nic teraz?

[picasso]

majkbe tego loga zapisz sobie gdzieś na boku i już przejdź do wykonania czynności. Potem wykonasz porządny log z GMER w odpowiednich warunkach (bez sterownika SPTD).

[majkbe]

jestem juz po blitz blanku i jak narazie wszystko ok komputer wstał kontynuuje

[picasso]

majkbe ja czekam na dane. Co z Tobą.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso