UKASH zablokowany komupter

[krzyhu122]

Komputer odpala się jedynie w trybie awaryjnym. Przy normalnym uruchomieniu odrazu wyskakuje strona informująca o zablokowaniu kompa. Logi w załącznikach. Będę wdzięczny za jakąkolwiek pomoc.

OTL.Txt

Extras.Txt

[Landuss]

Tylko, że tutaj też mamy infekcję ZeroAccess (oprócz Ukasha). Potrzebny log dodatkowy.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[krzyhu122]

Oto raport

SystemLook.txt

[Landuss]

1. Start > w oknie szukanai wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ten tekst:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/driveridentifier/{AC73E984-8B59-4107-8404-CECEA0661971}"
IE - HKU\S-1-5-21-507647960-2173893599-3027086844-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100476&babsrc=SP_ss&mntrId=546483a2000000000000001a2ace3c14"
IE - HKU\S-1-5-21-507647960-2173893599-3027086844-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/driveridentifier/{AC73E984-8B59-4107-8404-CECEA0661971}?q={searchTerms}"
O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O4:64bit: - HKLM..\Run: [snp2std] C:\Windows\vsnp2std.exe File not found
O4 - HKLM..\Run: []  File not found
 
:Files
C:\ProgramData\vbppyuha.exe
C:\ProgramData\qojxglpiagrxzey
C:\ProgramData\tgfozqnnwtayybg
C:\Users\zolik\0.05867069427346827.exe
C:\Users\zolik\AppData\Local\{9ca6cdd0-7f5c-ee4c-76fb-30b445d9788e}
 
:Reg
[HKEY_USERS\S-1-5-21-507647960-2173893599-3027086844-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-507647960-2173893599-3027086844-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"vbppyuhaalyysed"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: Splashtop Connect for Firefox

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[krzyhu122]

Wykonałem wszystko zgodnie z instrukcjami, komputer juz startuje normalnie. Wyniki skanowania w załącznikach. Czy to znaczy, że już wszystko jest ok?

OTL.Txt

SystemLook.txt

FSS.txt

[Landuss]

Nie tak szybko. Jeszcze musisz naprawić szkody po ZeroAccess.

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (wykonujesz tylko dla SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[krzyhu122]

Ok zrobione. Wynik skanu w załączniku. Czy te pliki z rozszerzeniem reg które służyły do rekonstrukcji usług moge usunąć?

FSS.txt

[Landuss]

Tak możesz to pousuwać. Ogólnie wszystko wygląda dobrze. Możesz przejść do czynności kończących:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4

"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[krzyhu122]

Kolosalne dzięki za pomoc. Wygląda, że wszystko działa jak należy. Tylko tak się zastanawiam, czy naprawde konieczna jest zmiana haseł, czy ktoś mógł je wykraść w jakiś sposób, bo troche byłoby zmieniania. Dodam tylko, że w przeglądarce nie miałem włączonego zapamiętywania haseł.

[Landuss]

Możesz tylko te najważniejsze z twojego punktu widzenia. Miałeś ZeroAccess + Weelsof a te infekcje mogą wykradać tego typu dane. Lepiej dmuchać na zimne.

[krzyhu122]

Ok. Zrobię jak radzisz. Jeszcze raz wielkie dzięki, bez Twojej pomocy nie dałbym sobie rady i pewnie na formacie by się skończyło.