Proszę o pomoc - UKASH

[PsychOPAT]

Przyszedł dzisiaj do mnie sąsiad z problemem... Standardowe okienko, że to niby pornografia dziecięca i prośba o haracz...

Zanim tutaj trafiłem, gdzieś zobaczyłem opis, że Combofix usuwa problem. Po odpaleniu i przeskanowaniu nic nie pomogło... wtedy trafiłem tutaj. Do postu dołączam pliki logów wymaganych + od razu z Combofixa (był odpalony jako pierwszy). W imieniu podłamanego sąsiada z góry dziękuję za pomoc.

Extras.Txt

OTL.Txt

combo.txt

[picasso]

Do postu dołączam pliki logów wymaganych + od razu z Combofixa (był odpalony jako pierwszy).

 

To psychOPAT-tyczne. Tyle logów nie jest wymaganych! Obowiązkowym zestawem jest tylko OTL (dla systemów 32-bit także GMER). Pozostałe (DDS | OTS | RSIT) to alternatywy dla sytuacji gdy z jakiś względów nie można uruchomić OTL. Odcinam nadwyżkę. W kwestii użytkowania ComboFix: KLIK.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [sdchange] C:\Users\Wiktoria\AppData\Local\Microsoft\Windows\4891\sdchange.exe ()
O3 - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5f609b49-6d43-11e1-acaa-c80aa9194793&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={04293316-E672-48F7-8358-67D11618DCCE}"
IE - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-973390671-3818227494-1813708451-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={04293316-E672-48F7-8358-67D11618DCCE}"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&barid={04293316-E672-48F7-8358-67D11618DCCE}"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
 
:Files
C:\Users\Wiktoria\AppData\Local\Microsoft\Windows\4891
C:\Users\Wiktoria\AppData\Roaming\hellomoto
C:\Users\Wiktoria\AppData\Roaming\Mozilla\Firefox\Profiles\ghgz8hk5.default\searchplugins\sweetim.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{248F7516-4122-4D55-BD83-9CDEF0A67B15}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). W katalogu F:\_OTL powstanie log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj LiveVDO plugin 1.3 (nośnik adware).

 

3. Otwórz Google Chrome i menedżerze wyszukiwarek przestaw domyślną z bieżącego śmiecia Web Search na cokolwiek innego (np. Google), następnie usuń Web Search z listy.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. I pytanie, czy te pliki są zdefiniowane / znane, co to jest:

 

 

 

[2012-03-17 19:32:17 | 001,319,391 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG_5501.JPG

[2011-11-26 17:36:06 | 000,069,438 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGABINET3.JPG

[2011-02-24 10:56:21 | 001,160,483 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmp(00)21022011333.JPG

[2011-02-03 10:53:48 | 001,159,369 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPTEK.JPG

[2011-02-03 10:53:34 | 000,349,080 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA OGLADA.JPG

[2011-02-03 10:53:22 | 001,184,945 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA GLASKANA PRZEZ TATE.JPG

[2011-02-03 10:53:06 | 000,034,155 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpRESIZE_JA Z SZYNSZYLA.JPG

[2011-02-03 10:52:52 | 000,128,586 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGLASKANIE TUPTUSI.JPG

[2011-02-03 10:52:36 | 001,182,201 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPTUSIA.JPG

[2011-02-03 10:50:05 | 001,217,176 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpTUPCIA OGLADA.0

[2011-02-03 10:45:51 | 000,447,712 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpGLASKANIE TUPTUSI.0

[2010-09-04 21:58:52 | 000,657,013 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG015.JPG

[2010-09-04 21:58:51 | 000,793,736 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG015.0

[2010-09-04 21:40:52 | 000,735,275 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.JPG

[2010-09-04 21:40:52 | 000,733,837 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.2

[2010-09-04 21:40:17 | 000,735,645 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.1

[2010-09-04 21:40:11 | 000,876,966 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG007.0

[2010-09-04 21:37:16 | 000,836,588 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG010.0

[2010-09-04 21:37:16 | 000,690,320 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG010.JPG

[2010-09-04 21:35:28 | 000,759,207 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG012.JPG

[2010-09-04 21:35:27 | 000,920,496 | ---- | C] () -- C:\Users\Wiktoria\AppData\Local\tmpIMG012.0

 

 

 

 

 

.

[PsychOPAT]

Te pliki to jakieś zdjęcia. Nie są jakieś ważne, mogę je wywalić, jeśli stwarzają jakieś zagrożenie.

07102012_153547.txt

OTL.Txt

[picasso]

Te pliki to jakieś zdjęcia. Nie są jakieś ważne, mogę je wywalić, jeśli stwarzają jakieś zagrożenie.

 

Ja po prostu pytam co to jest, bo pliki dziwnie wyglądają i leżą w dziwnym miejscu (tu nie należy się spodziewać zapisu takich plików). Rozszerzenie JPG o niczym nie świadczy. Zresztą ... pliki JPG też mogą być zainfekowane (trik z metadata i wstawieniem URL wykonawczego).

 

 

---

Sprawa rozwiązana. Przejdź do kolejnych czynności:

 

1. Na wszelki wypadek usuń w/w pliki.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe (za to inne odpadki narzędzia widoczne), pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Wiktoria\Desktop\ComboFix.exe /uninstall

 

3. Gdy komenda ukończy, w OTL uruchom Sprzątanie, które dokasuje z dysku OTL i jego kwarantannę z trojanem.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli brak wyników, przejdź do:

 

5. Podstawy aktualizacyjne: KLIK. Kontra fragmentaryczny wyciąg wersji z systemu:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java™ 6 Update 15 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 24
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

 

.