Systemy zainfekowane ransomware UKASH

[nezpers]

System Win Vista 32 bit home premium SP2

Zrobiłem wcześniej skan combofixem ale nic nie dało.

Witam i bardzo proszę o pomoc.

Z góry dziękuję.

Pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-130708527-2494889632-2989453924-1000..\Run: [VaultSysUi] C:\Users\Laptop\AppData\Local\Microsoft\Windows\44\VaultSysUi.exe ()
FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
IE - HKU\S-1-5-21-130708527-2494889632-2989453924-1000\..\SearchScopes\{A434A2C4-E94D-4D33-850A-F2AE5B39A47A}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
 
:Files
C:\Users\Laptop\AppData\Local\Microsoft\Windows\44
C:\Users\Laptop\AppData\Roaming\hellomoto
C:\ProgramData\036E192F02CC5968D86509982F3B707C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar. Otwórz Google Chrome i w opcjach przestaw stronę startową z Conduit na coś innego.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[nezpers]

Wykonałem wszystko,

odinstalowałem chrome bonie mogłem uruchomić.

Logi w załączeniu.

Po razkolejny dziękuję.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zapomniałeś podać log z wynikami usuwania OTL, ale to już darujmy sobie, gdyż widać pozytywne zmiany w nowym skanie. Skąd pobierałeś AdwCleaner? Posłużyłeś się starą wersją AdwCleaner 1.608. Z linka, który ja serwuję, jest pobierany AdwCleaner 1.703. To ma znaczenie, aplikacja jest aktualizowana o nowe definicje adware ...

 

 

odinstalowałem chrome bonie mogłem uruchomić.

 

OTL nadal wykrywa ustawienia tej przeglądarki:

 

 

 

========== Chrome ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Users\Laptop\AppData\Local\Google\Chrome\Application\18.0.1025.162\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\Laptop\AppData\Local\Google\Chrome\Application\18.0.1025.162\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Users\Laptop\AppData\Local\Google\Chrome\Application\18.0.1025.162\gcswf32.dll

CHR - plugin: Shockwave Flash (Disabled) = C:\Users\Laptop\AppData\Local\Google\Chrome\User Data\PepperFlash\11.1.31.203\pepflashplayer.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Java Deployment Toolkit 6.0.310.5 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

CHR - plugin: Java™ Platform SE 6 U31 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll

CHR - plugin: (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npwachk.dll

CHR - plugin: Active Process Information eXchange (Enabled) = C:\Program Files\Common Files\fluxDVD\APIX\NPAPIX.dll

CHR - plugin: fluxDVD (Enabled) = C:\Program Files\Common Files\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll

CHR - plugin: NPMPDRM License Acquisition Plugin (Enabled) = C:\Program Files\Common Files\mpDRM\NPMPDRM.dll

CHR - plugin: Google Update (Enabled) = C:\Users\Laptop\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll

CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll

CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

CHR - Extension: YouTube = C:\Users\Laptop\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.3_0\

CHR - Extension: Szukaj w Google = C:\Users\Laptop\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.14_0\

CHR - Extension: Gmail = C:\Users\Laptop\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

 

 

W związku z tym będę to doczyszczać.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_CURRENT_USER\Software\Google]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{88C7F2AA-F93F-432C-8F0E-B7D85967A527}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
rd /s /q C:\Users\Laptop\AppData\Local\Google /C
rd /s /q C:\Windows\erdnt /C

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania z punktu 1. Nowy skan OTL nie jest potrzebny.

 

 

 

.

[nezpers]

Witam,

log wynikowy w załączeniu,

rzeczywiście nie pobrałem z linku adware

nie wiem czemu:)

Dziękuję i Pozdrawiam

log wynikowy.txt

[picasso]

Zadanie wykonane. Kończymy:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox) ----> już jest najnowsza
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

Stara Java to jedna z przyczyn infekcji tego rodzaju.

 

 

 

.

[nezpers]

Witam nie było mnie kilka dni ale chciałem bardzo podziekować za pomoc.

Pozdrawiam

[nezpers]

Witam, jak w temacie, bardzo proszę o pomoc, dzis po poludniu wyjezdzamy a tu klops.

 

Pozdrawiam

OTL.Txt

Extras.Txt

Edytowane 30 Sierpnia 2012 przez picasso
Temat doklejam do poprzedniego. //picasso

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327252363_770707
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1327252363_770707
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327252363_770707
IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.net"
IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.selectedEngine: "Search Results"
FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/pl?utm_source=b&utm_medium=ins&from=ins&go=1"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=2&sr=0&q="
[2012-06-07 12:42:38 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\0xn6f3ap.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
[2012-06-07 12:42:01 | 000,002,511 | ---- | M] () -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\0xn6f3ap.default\searchplugins\Search_Results.xml
[2012-06-07 12:42:01 | 000,002,511 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
[2012-01-22 19:12:43 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [zgnervpxcyfwvqy] C:\Documents and Settings\All Users\Dane aplikacji\zgnervpx.exe ()
O4 - HKU\S-1-5-21-1177238915-220523388-682003330-1003..\Run: [zgnervpxcyfwvqy] C:\Documents and Settings\All Users\Dane aplikacji\zgnervpx.exe ()
 
:Files
C:\WINDOWS\Tasks\bxdobm.job
C:\Documents and Settings\xp\ms.exe
C:\Documents and Settings\All Users\Dane aplikacji\uthmzmbbctyvcmx
C:\Documents and Settings\All Users\Dane aplikacji\blddsrzgykhabnf
C:\Documents and Settings\All Users\Dane aplikacji\annflsud.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1177238915-220523388-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Wincore MediaBar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[nezpers]

Witam, proszę o pomoc w rozwiązaniu problemu z wirusem ukash, chciałem naprawić sa ale niestety,

uruchomilem rkill potem anti malware i super antispyware usunelo sporo robali ale ukash pozostał.

Bardzo proszę o pomoc.

OTL.Txt

Extras.Txt

Edytowane 30 Sierpnia 2012 przez picasso
Temat doklejam do poprzedniego. //picasso

[picasso]

Log z OTL został wykonany z poziomu wbudowanego w system konta Administrator a nie konta użytkownika:

 

Computer Name: PC-ZDW | User Name: Administrator | Logged in as Administrator.

 

Konta mają różne rejestry i foldery. Chyba że konto Administrator zostało od początku ustawione jako konto użytkownika.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Administrator\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4 - HKU\S-1-5-21-725345543-1644491937-1801674531-500..\Run: [radijgqtmjamzkf] C:\WINDOWS\radijgqt.exe (Sharkoon)
[2012-08-28 15:03:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\kphkvhahmyvhqug
[2012-08-28 15:03:27 | 000,078,022 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\rfthugikanyybhy
[2012-08-28 15:03:19 | 000,141,824 | ---- | M] (Sharkoon) -- C:\Documents and Settings\All Users\Dane aplikacji\radijgqt.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[nezpers]

dziękuje za błyskawiczną reakcję.

log w zalaczeniu

OTL.Txt

[picasso]

Nie dodałeś loga z wynikami usuwania OTl, ale to już możemy sobie darować. Zadanie pomyślnie wykonane. Przejdź do zamknięć tematu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co tu chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1871FE54-36AA-478F-B374-A46BA54474CC}" = ESET NOD32 Antivirus
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)
"Mozilla Thunderbird 9.0.1 (x86 pl)" = Mozilla Thunderbird 9.0.1 (x86 pl)

 

Antywirusa zakreślam, bo jest stary (sterowniki z roku 2009). Sugerowana wymiana innym.

 

 

PS. Uwaga poboczna na temat zainstalowanych Gadu-Gadu 10 + Nowe Gadu-Gadu. Polecam obejrzenie lżejszych alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.