Ukash - komputer zablokowany

[DeEmTe]

Witam.

Mam problem z dość popularnym ostatnio wirusem który próbuje wyłudzić ode mnie pieniądze.

Niestey zanim zdążyłem cokolwiek o tym poczytać bezmyślnie odpaliłem combofixa, log ze skanowania gdzies mi przepadł, nigdzie nie mogę go znaleźć.

Zrobiłem natomiast skan OTL'em .Logi umieśćiłem w załącznikach.

Bardzo prosze o pomoc i dziekuję z góry.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\Xp\Local Settings\Application Data\Microsoft\Windows\2175\sqlncli.exe ()
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Value error.)
FF - HKCU\Software\MozillaPlugins\@real.com/RhapsodyPlayerEngine: C:\Documents and Settings\Xp\Application Data\nprhapengine.dll File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe -- (OS Selector)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Xp\LOCALS~1\Temp\catchme.sys -- (catchme)
 
:Files
C:\Documents and Settings\Xp\Local Settings\Application Data\Microsoft\Windows\2175
C:\Documents and Settings\Xp\Application Data\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Via Dodaj / Usuń programy odinstaluj adware FreeRIP Toolbar v6.0. Następnie popraw w AdwCleaner opcją Delete. Z tego powstanie log na dysku C.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2.

 

 

 

.

[DeEmTe]

Zrobiłem każdy punkt jak zalecałeś.

Jeszcze raz dzięki wielkie za pomoc

Logi w załącznikach.

OTL.Txt

AdwCleanerS1.txt

07102012_112829.txt

[picasso]

Zalecałaś. Jestem kobietą. Sprawa rozwiązana, przechodzimy do:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Wykonaj istotne podstawowe aktualizacje: KLIK. A jest tu co robić:

 

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java™ 7 Update 2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AVG8Uninstall" = AVG Free 8.5
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"FileZilla Client" = FileZilla Client 3.5.0
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 ----> brak pakietu SP3
"Opera 11.64.1403" = Opera 11.64

 

Lista mówi sama za siebie (luka na luce), ale wypunktuję aspekty:

- Po pierwsze, krytyczny status aktualizacji systemu: brak SP3 i wszystkiego co wydano po nim, czyli od ... roku 2008. To jest jedno wielkie sito i próchno mające tak silne "zabezpieczenia" wewnętrzne jak rok 2004.

- Po drugie, działa w systemie przestarzały antywirus AVG8. Odinstaluj. Po tym z poziomu Trybu awaryjnego zapraw specjalistą AVG Remover. I montuj nowoczesne wydanie, a nie truchło.

- Skąd skołować Service Pack dla Microsoft SQL Server 2008: KB968382.

 

 

---

PS. Możesz odinstać zbędny Akamai NetSession Interface. A lżejsze alternatywy dla NGG opisane w moim artykule Darmowe komunikatory. Programy, które się dziś liczą: WTW, Miranda, Kadu, AQQ. Reszta niezdolna obsłużyć prawidłowo sieci Gadu lub obsługa zbyt mało kompleksowa.

 

.

[DeEmTe]

Hah, tak coś czułem ,że kobieta i chciałem to uwzględnić w nawiasie albo chociażby sprawdzić w profilu ale się powstrzymałem siłą rzeczy.Pardon, mea culpa.

 

Ano, nei wygląda to zbyt stabilnie, ale dzięki bogu na codzien pracuję na bardzo przyjemnie skonfigurowanym gentoo

Przeczuwam ,że pewnie macie w małym placu czytanie logów z OTL i w mgnieniu oka generujecie w głowie skrypt , niemniej chapeau bas.

 

PS. Czy są jakieś kursy umożliwiające nauczenia się analizowanać takie logi i tworzyć do nich te wpisy ?

[picasso]

PS. Czy są jakieś kursy umożliwiające nauczenia się analizowanać takie logi i tworzyć do nich te wpisy ?

 

W kwestii umiejętności, to wypowiadałam się tu: KLIK. To oznacza, że jestem zdolna analizować log pod różnymi kątami, system oraz malware (rzecz podrzędna), a nie tylko malware. A analizy logów nigdy się nie uczyłam. Są jednak na zachodzie szkoły (UNITE) do walki z malware (ja takowej nie kończyłam, jestem samoukiem). Ich metodologia mi się jednak nie podoba = za dużo formalizmów, za dużo pracy na "matrycach", za mało wyobraźni i zadań konceptualnych, nauka na przestarzałym HijackThis. Ale to moje zdanie. Ja bym uczyła w całkiem inny sposób, czyli logi i malware to ostatnie co by dostali jako zadanie, będąc już dostatecznie wykształconym w platformie jako takiej. Gdyż wtedy ... logów nie trzeba objaśniać.

 

 

.

[DeEmTe]

Log z mbam:

mbam-log-2012-07-10 (16-08-42).txt

[picasso]

Prewencyjnie skasuj cały Kosz K:\RECYCLER urządzenia przenośnego. Jeśli nie ma więcej pytań, temat zamknę.