Ukash, tylko część trojana usunieta, co dalej

[anat]

Witam i bardzo proszę o pomoc!

 

Jakiś czas temu program antywirusowy (Avast) wykrył u mnie trojana, usunęłam go za pomocą tego programu jednak w momencie włączania komputera i logowania się jako użytkownik nie włączał się explorer. Musiałam go włączać manualnie poprzez Menedżer zadań.

Gdzieś przeczytałam że Avast powoduje czasem takie problemy z explorerem, dlatego go odinstalowałam i zainstalowałam Avire. Nie mogłam jednak go aktualizować.

Wczoraj zaatakował mnie Trojan Weelsof ("Komputer zablokowany przez policje"). Na Cert wyczytałam że należy wpisywać kody, ale wpisywanie kodów zaczynających się od 633781 ani 718 nie skutkowało. Wyłączyłam komputer i włączyłam ponownie. Dzięki temu że kiedyś explorer nie otwierał mi sie automatycznie tak było i tym razem. A przez to że nie otwierał sie explorer to nie otwierał się także blokujący trojan. Wyszukałam więc dalej na forach co można zrobić i tak oto za pomocą Malwarebytes zeskanowałam komputer i usunęłam trojany. Malwarebytes kazał mi potem zrestartować komputer w celu pełnej dezynfekcji - explorer otworzył się automatycznie po zalogowaniu, a wraz z nim blokujący ekran trojana "komputer zablokowany przez trojana".

Po jakimś czasie znów zrestartowałam komputer ale od razu przy włączaniu się systemu wyłaczyłam przez Menedżer zadań otwierającego się explorera. Zeskanowałam komputer jeszcze raz i niczego nie wykryto. Wiem jednak że Trojany zmieniają różne pliki i pozostawiają jakieś syfy w systemie. Na razie nie wyłączam komputera żeby nie narazić sie znów na zablokowanie ekranu.

I tu moja gorąca prośba.

 

Nie znam się zupełnie na skanach otl, security check, mbr i żadnym innym, ale zgodnie z zasadami forum zamieszczam logi.

Niestety security chceck nie mogę zrobić ponieważ przy próbie uruchomienia wyskakuje komunikat: "system windows nie może odnaleźć pliku securitycheck"

 

Proszę bardzo o pomoc i wskazówki co mam zrobić dalej

[picasso]

Porządny opis problemu. Gdyby każdy z tych z blokadą takim językiem operował ...

 

Pomijając sprawę trojana: jest tu kryzysowe zestawienie Norton Internet Security z Avira. Ta kombinacja to już wystarczające, by "zablokować" system.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
IE - HKU\S-1-5-21-2165122739-3829392254-4102199813-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US"
IE - HKU\S-1-5-21-2165122739-3829392254-4102199813-1001\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Aga\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2165122739-3829392254-4102199813-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKU\S-1-5-21-2165122739-3829392254-4102199813-1001..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-2165122739-3829392254-4102199813-1001..\Run: [buijefrdxhilshg] C:\ProgramData\buijefrd.exe ()
[2012-07-13 22:32:18 | 000,000,000 | ---D | C] -- C:\ProgramData\ahcrmwzhxgbkzdb
[2012-07-13 22:32:26 | 000,000,051 | ---- | M] () -- C:\ProgramData\dzumbbxmptklyej
[2012-02-22 16:28:30 | 000,000,000 | ---D | M] -- C:\Users\Aga\AppData\Roaming\624A0
[2012-02-22 16:28:56 | 000,000,000 | ---D | M] -- C:\Users\Aga\AppData\Roaming\A021D
[2010-03-05 23:54:06 | 000,002,426 | ---- | M] () -- C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\yy59sr5o.default\searchplugins\askcom.xml
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\RKHit.sys -- (RkHit)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ASNDIS4.SYS -- (ASNDIS4)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
 
:Files
netsh advfirewall reset /C
 
:Commands
[resethosts]
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj wszystkie antywirusy: Norton Internet Security + Avira. Następnie z poziomu Trybu awaryjnego użyj specjalistyczne usuwacze: Norton Removal Tool + Avira Registry Cleaner.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[anat]

Wkleiłam ten skrypt i nacisnęłam do wykonania, po jakimś czasie wyskoczył błąd że nie może znaleźć jakiegoś pliku.

Teraz jest resetting hosts - ile to ma trwać? bo czekam już kilkanaście minut i zaczynam się martwić

[picasso]

Poczekaj jeszcze trochę. Jeśli zbyt długo "resetting hosts", to wymuś restart komputera i przejdź do wykonania kolejnych czynności.

[anat]

Zamknęłam OTL i odinstalowałam Nortona, po zrestartowaniu komputera wyświetlił się komunikat z OTL

 

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

 

PendingFileRenameOperations files...

[2009-03-31 21:41:33 | 000,303,871 | ---- | M] () C:\Windows\System32\drivers\etc\Hosts : MD5=AA9BD0EC4E5E1C206F584FCC68B89669

 

Registry entries deleted on Reboot...

 

 

 

Następnie odinstalowałam Nortona. Zrestartowałam komputer.

Użyłam AdwCleaner. Zrestartowałam komputer.

Log z AdwCleaner: http://www.wklej.org/id/790468/

 

Log z OTL: http://www.wklej.org/id/790486/

 

 

Co teraz? Coś jeszcze pozmieniać, jakiś skrypt? Odinstalować Avire?

[picasso]

Zamknęłam OTL i odinstalowałam Nortona, po zrestartowaniu komputera wyświetlił się komunikat z OTL

 

To nieco inaczej miało wyglądać ... Zamknąć OTL + restart, dopiero po tym deinstalacja antywirusów.

 

 

Co teraz? Coś jeszcze pozmieniać, jakiś skrypt? Odinstalować Avire?

 

Miałaś to wykonać od razu. Wyraźnie mówiłam, by oba skanery wyrzucić. Chyba, że teraz system działa płynnie i chcesz Avirę zachować (?). I kolejne działania:

 

 

1. Plik HOSTS w ogóle nie zresetował się. Zmiana metody. Zresetuj go do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Mini poprawka na odpadek po Symantec. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate)

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[anat]

Odinstalowałam Avire, zastosowałam Fix it do hosts, wykonałam skrypt, zeskanowałam

 

log OTL: http://www.wklej.org/id/790606/

 

mam nadzieje że już wszystko jest ok

 

wszystko mi teraz działa sprawnie, explorer jest, malvarebytes nie znajduje niczego, avire zainstaluje od nowa, chyba że polecasz jakiś inny program antywirusowy (z avastem wolę nie mieć już nic do czynienia)

 

Dziękuję niezmiernie za pomoc!!

[picasso]

Wszystko zostało zrobione. Przejdź do zamknięć tematu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL oraz kwarantannę z trojanem.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj istotne aktualizacje: KLIK. Oto wykaz z Twojej listy zainstalowanych, luka na luce:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.7
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.9.0 (Basic)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Przede wszystkim, system ma krytyczny poziom aktualizacji. Jest tu ledwie SP1 i IE7, należy to czym prędzej nadrobić. Tak niski poziom zabezpieczeń własnych systemu jest podejrzany, nasuwa mi skojarzenia z usterką Windows Update ... Proszę potwierdź prawidłowe wykonanie pełnego Windows Update (SP2 + IE9 + wszystko wydane po). W przeciwnym wypadku opisz dokładnie co się dzieje, czy nie ma aby jakiś błędów.

 

Rozszczepienie Gadu też zakreślam, gdyż: GG7 to kaleka wersja o niskim poziomie zabezpieczeń (brak szyfrowania połączenia = możliwość podsłuchu) i braku kompatybilności z własną siecią (sic!), a GG10 to potwór załatwiający zasoby systemu. Proponuję rozważenie alternatywy z obsługą sieci Gadu, jeden program a dobry. Do wglądu artykuł Darmowe komunikatory i opisy WTW, AQQ, Kadu, Miranda.

 

4. Instalacja pełnowartościowego antywirusa:

 

avire zainstaluje od nowa, chyba że polecasz jakiś inny program antywirusowy (z avastem wolę nie mieć już nic do czynienia)

 

Avira ostatecznie może być, choć ja ją tępię, a to dlatego, że program w najnowszych wersjach wdraża mechanizmy przypominające działania ... producentów adware. Otóż by mieć pełnowartościwą osłonę web (a to element który właśnie może zapobiec infekcji Weelsof) należy się zgodzić na instalację paska adware Ask maskowanego jako "Avira Search Protection". Element całkowicie zbędny, przekierowujący wyszukiwanie przeglądarek, cios poniżej pasa. To właśnie Avast daje osłonę web bez takich świńskich sztuczek. Co masz przeciwko Avastowi?

 

 

 

.