Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Ukash - Zablokowany komputer - Trojan Weelsoft

Rozpoczęty przez Saskey, 14-07-2012 12:42

  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1
Saskey
Napisano 14-07-2012 - 12:42

Saskey

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Czyli ostatnio to co dzieje się u wszystkich co piszą w tym dziale ;)

Proszę o pomoc. Załączam logi.

Z góry dziękuję pracowitej administracji.

Edit

Jak coś próbowałem usunąć tego trojana przez Kaspersky Rescue Disk 10 i nie przyniosło to żadnego skutku, tylko jakieś robaki znalazł.

Załączone pliki

  • Załączony plik  Extras.Txt   31.16 KB   72 Ilość pobrań
  • Załączony plik  OTL.Txt   74.64 KB   87 Ilość pobrań

#2
picasso
Napisano 14-07-2012 - 16:16

picasso

    Administrator

  • Administratorzy
  • 22300 postów
System jest również zaśmiecony adware.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\ADAM\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O3 - HKU\S-1-5-21-1390067357-484763869-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O3 - HKU\S-1-5-21-1390067357-484763869-839522115-1003\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [zzhviguhvpobnib] C:\Documents and Settings\All Users\Dane aplikacji\zzhviguh.exe ()
O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe" File not found
O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [NVIDIA driver monitor] c:\windows\nvsvc32.exe File not found
O4 - HKU\S-1-5-21-1390067357-484763869-839522115-1003..\Run: [zzhviguhvpobnib] C:\Documents and Settings\All Users\Dane aplikacji\zzhviguh.exe ()
FF - prefs.js..browser.search.defaultthis.engineName: "4shared.com Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1342105026_932980"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1342105026_932980" 
IE - HKU\S-1-5-21-1390067357-484763869-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1342105026_932980"
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Sacm2A.sys -- (USBCM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX1K.SYS -- (UNDPX1K)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd)

:Files
C:\Documents and Settings\All Users\Dane aplikacji\umbdqtcpvkhauew
C:\Documents and Settings\All Users\Dane aplikacji\bitufyaurxmbtfe
C:\Documents and Settings\ADAM\ms.exe
C:\Documents and Settings\ADAM\Dane aplikacji\PriceGong
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\searchplugins\conduit.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\WINDOWS\_detmp.1
C:\WINDOWS\Tasks\At*.job

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\ADAM\Moje dokumenty\Pobieranie\facebook-pic000934519.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Przeprowadź deinstalację adware / śmieci:
  • Przez Panel sterowania odinstaluj: 4shared.com Toolbar, Babylon toolbar on IE, Codec-C, Softonic toolbar on IE and Chrome, V9 HomeTool, Yahoo! Toolbar. Ten ostatni wygląda na jakieś odpadki.
  • Otwórz Firefox i w Dodatkach odmontuj: 4shared.com Community Toolbar, Babylon, Codec-C, Free Lunch Design Community Toolbar, Softonic Toolbar
  • Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj 4shared.com, Codec-C. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Babylon na cokolwiek innego (np. Google), po tym Babylon usuń z listy.
3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#3
Saskey
Napisano 15-07-2012 - 12:41

Saskey

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Tylko nwm gdzie log z usuwania się zapisał.

Załączone pliki


#4
picasso
Napisano 15-07-2012 - 18:09

picasso

    Administrator

  • Administratorzy
  • 22300 postów
Log z usuwania jest tworzony automatycznie w katalogu kwarantanny OTL, czyli C:\_OTL. Ale możemy sobie go podarować. W nowym skanie OTL widać pożądane zmiany. Wymagana poprawka na odpadki:

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com
C:\Documents and Settings\All Users\Dane aplikacji\Codec-C
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Program Files\v9Soft

:OTL
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q="
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" File not found

:Commands
[emptytemp]


Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

2. Do oceny wystarczy tylko log z wynikami usuwania. Nie ma potrzeby robić nowego skanowania w OTL.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

#5
Saskey
Napisano 16-07-2012 - 13:44

Saskey

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
kiedy chce wysłać załącznik pokazuje, że nie mam prawa aby wysyłać tego typu pliki. Dlatego wkejam bezpośrednio tutaj:

All processes killed
========== FILES ==========
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\searchplugin folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\Plugins folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\modules folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\META-INF folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\defaults folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\components folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}\chrome folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\searchplugin folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\Plugins folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\modules folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\META-INF folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\defaults folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\components folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\chrome folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\defaults\preferences folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\defaults folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content\imgs\flgs folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content\imgs folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com\content folder moved successfully.
C:\Documents and Settings\ADAM\Dane aplikacji\Mozilla\Firefox\Profiles\qbi86uzx.default\extensions\ffxtlbra@softonic.com folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Codec-C\data folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Codec-C folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Premium\Setup folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Premium folder moved successfully.
C:\Program Files\v9Soft folder moved successfully.
========== OTL ==========
Prefs.js: "http://search.condui...rchSource=2&q=" removed from keyword.URL
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: ADAM
->Temp folder emptied: 5097454 bytes
->Temporary Internet Files folder emptied: 3839667 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 113673921 bytes
->Google Chrome cache emptied: 64858502 bytes
->Flash cache emptied: 1757 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: Administrator.ADAM-OVL2URGK92
->Temporary Internet Files folder emptied: 0 bytes

User: Administrator.ADAM-OVL2URGK92.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gość
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23938 bytes
RecycleBin emptied: 152490227 bytes

Total Files Cleaned = 324,00 mb


OTL by OldTimer - Version 3.2.53.1 log created on 07162012_143028

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2012-07-16 14:31:46 | 000,000,000 | ---- | M] () C:\WINDOWS\temp\_avast5_\Webshlock.txt : Unable to obtain MD5

Registry entries deleted on Reboot...

#6
picasso
Napisano 17-07-2012 - 09:09

picasso

    Administrator

  • Administratorzy
  • 22300 postów

kiedy chce wysłać załącznik pokazuje, że nie mam prawa aby wysyłać tego typu pliki.


Zasady działu + Pomoc forum wyjaśniają, że załączniki akceptują tylko rozszerzenie *.TXT a tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku.

 
Do wykonania operacje:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport.

4. Widoczne elementy Avast, które wyglądają nieświeżo. Na dodatek nie widzę wejścia programu na liście zainstalowanych. Z poziomu Trybu awaryjnego posłuż się Avast Uninstall Utility. Następnie zainstaluj najnowszą wersję.

5. Ważne podstawowe aktualizacje do wykonania: KLIK. Oto fragment z Twoich zainstalowanych:

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 26
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skypeâ„¢ 5.5
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE) -----> do aktualizacji
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF) ----> już jest najnowsza

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-1390067357-484763869-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome


Rzuca się w occzy krytyczny poziom aktualizacji Windows. System w stanie SP2+IE6, "zabezpieczenia" z roku 2004 i blokada na bieżące aktualizacje krytyczne (dopuszczone systemy to tylko XP SP3). W pierwszej kolejności należy nadrobić całe Windows Update.


PS. Uwaga poboczna na temat pary Gadu-Gadu 10 + Nowe Gadu-Gadu. Programy ciężkie, zasobożerne i dęczące reklamami. Sugeruję oglądnięcie alternatywnych programów z obsługą sieci Gadu, takich jak: AQQ, Kadu, WTW, Miranda. Opisy w artykule: Darmowe komunikatory.

.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.

Wróć do Dział pomocy doraźnej


Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

  1. Fixitpc.pl
  2. FIX PC - Pomoc techniczna
  3. Diagnostyka malware - Centrum bezpieczeństwa
  4. Dział pomocy doraźnej