UKASH - prosze o pilna pomoc

[malfos]

Witam, dosc pechowo w ostatni piatek moj komputer zostal zaatakowany przez UKASH. Probowalem kilku porad znalezionych w internecie ale niestety bezskutecznie. Zalaczam raporty i prosze o pomoc.

Extras.Txt

OTL.Txt

[picasso]

Przemilczane użycie ComboFix. Na temat nienadzorowanego uruchomienia: KLIK.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\Marcin\Local Settings\Application Data\Microsoft\Windows\2214\wscinterop.exe ()
O2 - BHO: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O2 - BHO: (no name) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found.
O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found.
IE - HKLM\..\SearchScopes\{580785FF-9DD7-4ECA-A8F9-EB8608ED2DFD}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=05a1d06a-4398-11e1-9aa0-0016d4a9875b&q={searchTerms}"
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys -- (catchme)
DRV - File not found [File_System | Auto | Stopped] --  -- (aswMon2)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\AFGSp50.sys -- (AFGSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\AFGMp50.sys -- (AFGMp50)
 
:Files
C:\Documents and Settings\Marcin\Local Settings\Application Data\Microsoft\Windows\2214
C:\Documents and Settings\Marcin\Application Data\hellomoto
C:\Documents and Settings\Marcin\Application Data\PriceGong
C:\Documents and Settings\Marcin\Application Data\OpenCandy
C:\Documents and Settings\Marcin\Application Data\Babylon
C:\Documents and Settings\All Users\Application Data\Babylon
C:\Documents and Settings\All Users\Application Data\~0
C:\WINDOWS\System32\BB31817AC617EBE10D69DADB67E2424.exe.tmp.tmp
C:\FOUND.*
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Complitly, IObit Toolbar v4.4, LiveVDO plugin 1.3, MakeItLive Plugin, Productivity 1.12 Toolbar, vShare Plugin oraz przestarzały Spybot - Search & Destroy.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

 

[malfos]

System sie odblokowal. Wielkie dzieki za szybka i fachowa odp:)

 

1) Wykonalem skrypt. Log OTL zalaczony.

2) Odinstalowalem wszystkie ad-ons z wyjatkiem IObit Toolbar v4.4.

System wyswietla info: The feature you are trzing to use is on a network resource that is unavailable.

Podaje tez sciezke (folder containing installation package), ale kiedy daje OK nic nie znajduje.

Potrzebne screeny? Czy mozna z tym zyc?

 

3) Raport z Adwcleaner zalaczony.

4) Koncowy OTL zalaczony.

AdwCleanerS2.txt

OTL.Txt

07152012171827.txt

[picasso]

Zadania wykonane. Jest tu jeszcze co czyścić, teraz logi są z innego konta.

 

1. Poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.5.2
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
IE - HKU\S-1-5-21-527237240-790525478-839522115-1003\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found
IE - HKU\S-1-5-21-527237240-790525478-839522115-1003\..\SearchScopes\{56361A71-4E9F-401D-9E12-8AEAA3D7A672}: "URL" = "http://mil.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
O2 - BHO: (no name) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - No CLSID value found.
O3 - HKU\S-1-5-21-527237240-790525478-839522115-1003\..\Toolbar\WebBrowser: (no name) - {56361A71-4E9F-401D-9E12-8AEAA3D7A672} - No CLSID value found.
O4 - HKU\S-1-5-21-527237240-790525478-839522115-1003..\Run: [FreeRAM XP] "\FreeRAM XP Pro.exe" -win File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Reg Error: Value error. (Reg Error: Key error.)
[2012/03/27 21:52:20 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Marcin\Application Data\Mozilla\Firefox\Profiles\y7e8panp.default\extensions\vshare@toolbar
[2011/08/03 19:33:02 | 000,090,118 | ---- | M] () (No name found) -- C:\DOCUMENTS AND SETTINGS\MARCIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\Y7E8PANP.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Pod kątem IOBit Toolbar. Uruchom to narzędzie: KLIK. Wybierz tryb automatyczny i na liście programów usuń tę pozycję. Po tym skasuj ręcznie z dysku folder tego paska.

 

3. Korekta w antywirusach, aktualnie wspólnie siedzą Avast + AVG, tak nie może pozostać. Jeden z nich do deinstalacji, pada na AVG, bo starszy. Po normalnej deinstalacji popraw z poziomu Trybu awaryjnego narzędziem AVG Remover. Proponuję też wyrzucić IObit Malware Fighter, to coś zbędne przy Avast.

 

4. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe (za to inne odpadki narzędzia widoczne), pobierz więc ponownie na Pulpit (KLIK). W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Marcin\Desktop\ComboFix.exe" /uninstall

 

5. Następnie w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

6. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.2.0
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"PROPLUS" = Microsoft Office Professional Plus 2007 ----> brak pakietu SP3

 

 

PS. Gadu-Gadu 10 też polecam "zaktualizować" w rozumieniu wymiany na alternatywę z obsługą sieci Gadu. Alternatywę, która nie żre tyle zasobów i nie dręczy reklamami. W opracowaniu Darmowe komunikatory poczytaj opisy WTW, Miranda, Kadu i AQQ.

 

.

[malfos]

Jeszcze raz b dziekuje za fachowa pomoc, lopatologiczne instrukcje i edukacyjne sugestie Moje uzycie combofixa wynikalo z niczego innego jak z braku wiedzy. Nie bylo to glupota z premedytacja:) Poprzedni log OTL wykonalem z konta uzytkownika, a pierwszy z konta admin w trybie awaryjnym. Krotki raport o postepach:

 

1. Skrypt wykonany

2. Toolbar usuniety

 

3. W czasie oczekiwania na poprzednia odp. pozbylem sie avasta i sciagnalem AVG 2012 trial jako tymczasowe rozwiazanie.

Zastanawiam sie jakiego antyvira

najlepiej uzyc. Myslalem o Kaspersky Internet Security, ale nie upieram sie przy tym rozwiazaniu bo nie do konca wiem co powinienem jeszcze wziac pod uwage. Czy instalujac taki program istnieje jeszcze potrzeba dodatkowych programow zabezpieczajacych?

Bylbym b wdzieczny za jakiekolwiek rady/sugestie.

Zanim znlazlem to forum, zaraz po ataku wirusa, kupilem Hitman Pro. Nie wiem jednak na ile ten program jest przydatny i czy to ta sama liga jak np. Malware bytes -AntiMalware

 

4 i 5. Wykonane

6. W toku