Wirus Ukash

[kosiorski]

Witam, wylaczylem wszystko z autostartu co pomogło mi odpalić windows'a normalnie, jednak to zapewne nie osunęło wirusa (bo niby jak), nie znam się zabardzo, pozniej umieszczam OTL.

Extras.Txt

OTL.Txt

[picasso]

Skoro wyłączyłeś (czym? msconfig?), to oglądam zmanipulowane środowisko. W raporcie nie widać wpisu startowego infekcji, czyli nie znam katalogu głównego skąd się uruchamiała (w logach ten katalog nigdy nie jest widoczny na dysku, tylko we wpisie startowym), jest tylko widzialny poboczny folder hellomoto (ale to jest podrzędny folder). Tak więc opisz dokładnie co i jak wyłączałeś, a ja póki co doczyszczę śmieci odpadkowe po paskach adware i ten hellomoto:

 

1. Przez Panel sterowania odinstaluj adware QuickStores-Toolbar 1.1.0.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029:
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found
IE - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\Toolbar\WebBrowser: (no name) - {14F6A182-4C6F-45AE-9F5A-AA3CCBB1CFA3} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.
O3 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-3222553049-2952680680-2740862230-1000..\Run: [AdobeBridge]  File not found
 
:Files
C:\Windows\SysWow64\fedddecf0_g.dll
C:\Users\ashd\AppData\Roaming\hellomoto
C:\Users\ashd\AppData\Roaming\PriceGong
C:\Users\ashd\AppData\Roaming\mozilla\firefox\profiles\fco1nt1n.default\searchplugins\conduit.xml
C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_USERS\S-1-5-21-3222553049-2952680680-2740862230-1000\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-3222553049-2952680680-2740862230-1005\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik:

 

C:\Users\ashd\AppData\Roaming\mozilla\firefox\profiles\fco1nt1n.default\prefs.js

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Odpowiedz na pytanie co i jak wyłączałeś.

 

 

 

.

[kosiorski]

Zrobiłem co napisałaś.

A to co wczoraj to włączyłem z msconfig'a odznaczyłem wszystkie aplikacje, zamieszczam screen z msconfig'a które wczorajszego dnia zostały wyłączone, i odrazu pytanie, co moge spowrotem włączyć ( rocketdock, i avast by mi sie raczej przydał ).

1OTL.Txt

AdwCleanerS1del.txt

[picasso]

Apropos "napisałeś" = jestem kobietą. Zadania pomyślnie wykonane. Ale przejść dalej nie można. Przecież ten screen z msconfig jest poobcinany ze wszystkich stron i nie widać pełnych ścieżek (nazwa mniej istotna, to ścieżka jest kluczowa). Poproszę o dokładny skan. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look.

 

 

 

.

[kosiorski]

Przepraszam, przyzwyczajenie

SystemLook.txt

[picasso]

Te dwa to wpisy infekcji:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSSMSGS]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="MSSMSGS"
"hkey"="HKCU"
"command"="rundll32.exe winxuv32.rom,TlnonQ"
"inimapping"="0"
"YEAR"= 0x00000007dc (2012)
"MONTH"= 0x0000000004 (4)
"DAY"= 0x000000001d (29)
"HOUR"= 0x0000000014 (20)
"MINUTE"= 0x0000000028 (40)
"SECOND"= 0x0000000004 (4)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WPDShextAutoplay]
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"item"="WPDShextAutoplay"
"hkey"="HKLM"
"command"="C:\Users\ashd\AppData\Local\Microsoft\Windows\3116\WPDShextAutoplay.exe"
"inimapping"="0"
"YEAR"= 0x00000007dc (2012)
"MONTH"= 0x000000000b (11)
"DAY"= 0x0000000003 (3)
"HOUR"= 0x0000000000 (0)
"MINUTE"= 0x0000000011 (17)
"SECOND"= 0x000000002c (44)

 

Czyli wykańczamy to:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\ashd\AppData\Local\Microsoft\Windows\3116

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSSMSGS]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WPDShextAutoplay]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Zatwierdź import do rejestru. Po tej akcji znikną wpisy infekcji z msconfig. Możesz sobie włączyć resztę, nie musisz wszystkich, ale te które są dla Ciebie przydatne.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Plik prefs.js na Pulpicie do niczego nie potrzebny.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej programy: KLIK. Twój log pokazuje, że masz:

 

Internet Explorer (Version = 8.0.7601.17514)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java™ 7 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Wszystkie stare Java / Silverlight / Adobe do deinstalacji przed montażem najnowszych.

 

 

PS. Gadu-Gadu 10 = poczytaj o mniej męczących system alternatywach z obsługą sieci Gadu (WTW, Kadu, Miranda, AQQ): KLIK.

 

 

 

.

[kosiorski]

Dziękuje, bardzo mi Pani pomogła. Wspaniała, szybka pomoc. jeszcze raz dziekuje