Blokada komputera - UKASH

[matip125]

Witam!

 

Wczoraj dopadla mnie blokada komputera znanego wszystkim wirusa...

Cale szczescie korzystanie z PC jest nie mozliwe z jednego konta na komputerze, a drugie ZWYKLEGO UZYTKOWNIKA (nie administratora) normalnie chodzi co mnie zdziwilo.

Probowalem nawiazac polaczenie z TRYBEM AWARYJNYM - ale bez skutku laczy sie i w pewnej chwili sie zawiesza.

Przesylam logi z OTL'a i bardzo prosze o pomoc z waszej strony!

 

 

Pozdrawiam!

OTL.Txt

Extras.Txt

[picasso]

Cale szczescie korzystanie z PC jest nie mozliwe z jednego konta na komputerze, a drugie ZWYKLEGO UZYTKOWNIKA (nie administratora) normalnie chodzi co mnie zdziwilo.

 

Usuwanie będzie wymagało uprawnień administracyjnych, niestety z poziomu konta ograniczonego zapomnij o skryptach etc, bo wszystko wymaga uprawnień administracyjnych. Poza tym, zalogowanie na dane konto ma poważny wpływ na zawartość logów. Marta a MaTI = tu jest poważna różnica w rejestrze i folderach kont.

 

Probowalem nawiazac polaczenie z TRYBEM AWARYJNYM - ale bez skutku laczy sie i w pewnej chwili sie zawiesza.

 

Opisz o co Ci chodzi. Zamiast Trybu awaryjnego odetnij po prostu sieć, podobno wtedy infekcja nie jest zdolna podsunąć tej planszy blokującej.

 

 

---

UKASH to Twój najmniejszy problem. W systemie działa trojan ZeroAccess, który czyni także poważny szkody (kasuje z rejestru usługi). Wymagane dodatkowe skany, z poziomu konta MaTI.

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw log.

 

2. Wygeneruj także log z Farbar Service Scanner. Zaznacz wszystkie opcje.

 

 

 

.

[matip125]

Czyli mam odlaczyc siec i zrobic skana z konta ograniczonego?

 

Wejscia w tryb awaryjny wyglada nastepujaco:

F8 - tryb awaryjny (wszystkie po kolei probowalem)

Zaczyna sie wyszukiwanie plikow systemu windows po 5sec wyszukiwania staje w miejscu i pisze CZEKAJ...

Wczoraj wieczorem wlaczylem i mysle moze ruszy, ale przez cala noc nawet nie drgnelo.

Co to moze byc?

Jak na to zaradzic?

 

A i gdyby byl jakis pomysl, aby to uruchomic, to prosze o wskazowki (lub link do takich wskazowek) jak wlaczyc te wszystkie programy w trybie awaryjnym.

 

Ps. Dziekuje za pierwsza odpowiedz.

[picasso]

Czyli mam odlaczyc siec i zrobic skana z konta ograniczonego?

 

Nie, przecież logi dałeś mi właśnie z konta ograniczonego Marta:

 

Computer Name: MATI-KOMPUTER | User Name: Marta | NOT logged in as Administrator.

 

Masz odciąć sieć (kable wypięte), zalogować się na konto administratorskie MaTI i zrobić skany o które proszę.

 

 

 

.

[matip125]

Po odlaczeniu sieci i zalogowaniu sie na konto MaTI bez zmian... wita mnie UKASH

[picasso]

To z innej strony: na ekranie logowania natychmiast ALT+CTRL+DEL i w menedżerze zadań zabij explorer.exe. Następnie z menu Plik > Nowe zadanie > uruchom go ponownie. Zaloguj się na konto MaTI.

 

 

 

.

[matip125]

Nadal bez skutku...

Po kilkunastu probach udalo mi sie jedynie otworzyc okno managera po czym odrazu wyskakuje komunikat od wirusa.

Jest dla mnie jakis ratunek?

 

Moze wiadomo chociaz ktore pliki sa zainfekowane ukas'em, to usune je recznie?

[picasso]

Na pewno robisz to dostatecznie szybko? Wpisem infekcji UKASH jest ten, ale oznaczony jako "not found", co nie wiadomo jak interpretować w obliczu faktu, że infekcja jest czynna (może to już nieaktualne i jest inny wpis):

 

O4:64bit: - HKLM..\Run: [tcpmonui] E:\Users\MaTI\AppData\Local\Microsoft\Windows\3659\tcpmonui.exe File not found

 

Wstępnie szukaj do zabijania w menedżerze zadań procesu tcpmonui.exe.

 

Jak mówię, ta infekcja nie jest tu najgorszą, w systemie jest bardziej inwazyjny trojan i muszę pobrać o nim dane poprzez narzędzia podane wcześniej.

 

 

 

.

[matip125]

Mysle, ze jedna noga juz jestesmy w domu.

Przy pomocy MINI WINDOWSA i usunieciu tcpmonui.exe ukash dal spokoj i teraz moge dokonac skanu za pomoca OTL'a z poziomu admina.

Wiec logi:

Extras.Txt

OTL.Txt

[picasso]

Ale przecież prosiłam o inne logi pod kątem infekcji ZeroAccess: SystemLook + Farbar Service Scanner.

[matip125]

W zalaczniku proszone logi:

FSS.txt

SystemLook.txt

[picasso]

Między logami z OTL jest różnica, tzn. w drugim brak widocznych folderów ZeroAccess na dysku, a że upłynął spory czas trudno powiedzieć czy one się zregenerowały (będę to sprawdzać). Niemniej log z SystemLook poświadcza obecne modyfikacje ZeroAccess w rejestrze.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
netsh winsock reset
netsh advfirewall reset

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z prawokliku na plik FIX.BAT wybierz opcję "Uruchom jako Administrator". Zresetuj ręcznie system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4:64bit: - HKLM..\Run: [tcpmonui] E:\Users\MaTI\AppData\Local\Microsoft\Windows\3659\tcpmonui.exe File not found
O4:64bit: - HKLM..\Run: [wancp] E:\Users\MaTI\AppData\Local\Temp\wancp.dll (DT Soft Ltd)
O4 - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001..\Run: [15u225bkgq] E:\Users\MaTI\15u225bkgq.exe ()
O4 - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001..\Run: [mssend] E:\Users\MaTI\AppData\Roaming\xcho1ekjar1zqyrd22hdanrvvgzuotwy2\svcnost.exe (StompSoft, Inc.)
O4 - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001..\Run: [qqrepkt3zf] E:\Users\MaTI\qqrepkt3zf.exe ()
 
:Files
E:\Users\MaTI\AppData\Local\Microsoft\Windows\3659
E:\Users\MaTI\AppData\Roaming\hellomoto
E:\Users\MaTI\AppData\Roaming\xcho1ekjar1zqyrd22hdanrvvgzuotwy2
E:\found.*
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Przez Panel sterowania odinstaluj adware MediaBar oraz pozycję mIRC (w Twoim logu elementy zbieżne z tym: KLIK).

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:folderfind
{ee4f1e86-dc1f-8db3-1061-5202f1900415}

 

 

 

 

.

[boseti]

Witam dzieki temu forum i dokładnie temu tematowi poradziłem sobie z UKASHEm, problem był spory gdyż laptop miał ograniczone uprawnienia, dziękuję i przesyłam skromną dotację, zachęcając tym samym innych którym tutaj uratowano tyłek do tego samego POZDRAWIAM

[matip125]

Witam!

 

Po dokonaniu czynnosci z tematu, gdy chce wejsc w MOJ KOMPUTER, Panel sterowania itd, to wyje nastepujacy blad:

 

Moj komputer:

 

 

Panel sterowania:

 

 

Poraz kolejny prosze o pomoc!

SystemLook.txt

OTL.Txt

[picasso]

No cóż, mamy nadal oznaki infekcji ZeroAccess oraz przyrost nowych infekcji. Prawdopodobnie tu jest wariant ZeroAccess infekujący systemowy plik services.exe. Zrób nowy skan SystemLook na warunek:

 

:filefind
services.exe

 

Log będzie krótki = wklej jego zawartość wprost do posta.

 

 

 

.

[matip125]

SystemLook 30.07.11 by jpshortstuff

Log created at 02:52 on 06/10/2012 by MaTI

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

E:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

E:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Plik nie jest naruszony. W związku z tym te obiekty ZeroAccess wyglądają na odpadki. Przejdź do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001..\Run: [Atdeq] E:\Users\MaTI\AppData\Roaming\Ohmyci\lyin.exe (EAGLE TECH)
O7 - HKU\S-1-5-21-2647105612-3883565987-1890095508-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
E:\Windows\assembly\GAC_32\Desktop.ini
E:\Windows\assembly\GAC_64\Desktop.ini
E:\Windows\Installer\{ee4f1e86-dc1f-8db3-1061-5202f1900415}
E:\Users\MaTI\AppData\Local\{ee4f1e86-dc1f-8db3-1061-5202f1900415}
E:\Users\MaTI\AppData\Roaming\Saab
E:\Users\MaTI\AppData\Roaming\Loaqhe
E:\Users\MaTI\AppData\Roaming\Esdigy
E:\Users\MaTI\AppData\Roaming\Zaota
E:\Users\MaTI\AppData\Roaming\Upul
E:\Users\MaTI\AppData\Roaming\Onor
E:\Users\MaTI\AppData\Roaming\Ohmyci
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Do wykonania zaległa sprawa z poprzednich instrukcji:

 

3. Przez Panel sterowania odinstaluj adware MediaBar oraz pozycję mIRC (w Twoim logu elementy zbieżne z tym: KLIK).

 

Jeśli Panel sterowania nadal będzie zwracał błąd, to sprawdź czy jesteś w stanie uruchomić plik E:\Windows\System32\appwiz.cpl, który dałby dostęp do deinstalacji.

 

3. Zrób nowy log OTL z opcji Skanuj. Dołącz log z wynikami usuwania powstały w punkcie 1.

 

 

 

.

[matip125]

A wiec...

 

W zaden sposob nie moge odnalesc pliku appwiz.cpl

 

Panel sterowania nadal nie dziala jedynie udalo mi sie usunac pozycję mIRC.

 

Przesylam logi ze skanu OTL

OTL.Txt

[picasso]

Panel sterowania nadal nie dziala jedynie udalo mi sie usunac pozycję mIRC.

 

Nie rozumiem, skoro byłeś zdolny usunąć mIRC to dlaczego nie MediaBar?

 

 

W zaden sposob nie moge odnalesc pliku appwiz.cpl

 

Czy na pewno masz włączone pokazywanie rozszerzeń? Klawisz z flagą Windows + R i w polu Uruchom wklej E:\Windows\System32\appwiz.cpl. Czy to zwraca błąd?

 

 

.

[matip125]

Nie wiem w ktorym miejscu znajduje sie MEDIABAR.

 

 

Odnalazlem ten plik appwiz.cpl, ale nie darady jego uruchomic, a gdy chce go usunac wyskakuje komunikat:

 

"Potrzebujesz uprawnien do wykonania tej akcji.

Uzyskaj uprawnienia od TrustedInstaller w celu wprowadzenia zmian w tym pliku."

[picasso]

Odnalazlem ten plik appwiz.cpl, ale nie darady jego uruchomic, a gdy chce go usunac wyskakuje komunikat

 

Mój Boże, ale dlaczego Ty chcesz go usuwać? Na szczęście plik blokują uprawnienia. Ten plik jest apletem Dodaj / Usuń programy i nie kazałam go usuwać (!) tylko uruchomić. Jego uruchomienie miało być obejściem dostępowym przy nieuruchamiającym się Panelu sterowania. Co to znaczy "nie daje rady go uruchomić"? Jaki błąd?

 

 

Nie wiem w ktorym miejscu znajduje sie MEDIABAR.

 

Na liście zainstalowanych programów. W jaki sposób usunąłeś mIRC, skoro MediaBar nie możesz znaleźć?

 

 

.

[matip125]

Zle zrozumialem...

Po zaznaczeniu pliki i daniu PPM - uruchom jako administrator - nic sie nie dzieje, nic sie nie otwiera.

 

 

Co do Mirc'a poprostu wiedzialem w ktorym miejscu byl zainstalowany.

[picasso]

Teraz już wychodzę z domu i nie mogę prowadzić tematu. Jak wrócę, to przemyślę sprawę z tymi błędami.

 

 

Co do Mirc'a poprostu wiedzialem w ktorym miejscu byl zainstalowany.

 

Z tego co rozumiem to skasowałeś po prostu ... folder? Czyli: nie odinstalowany i tyle. Zupełnie nie o to mi chodziło, bo ta metoda to nieprawidłowe usuwanie, brutalne połowiczne operacje zostawiające kupę wpisów w rejestrze. Zresztą w logu z OTL widać, że coś źle "poszło", bo wpisy startowe po tym nadal są. Nie podejmuj już żadnych innych działań na własną rękę. Zajmę się doczyszczeniem tego co namieszałeś jak wrócę.

 

 

 

.

[matip125]

Ok w takim razie cierpliwie czekam na ratunek.

[picasso]

Wstępnie spróbuj przerejestrowania bibliotek systemowych:

 

1. Z prawokliku na C:\Windows\system32\cmd.exe wybierz opcję Uruchom jako Administrator. W linii komend wklej:

 

for %i in (C:\Windows\system32\*.dll) do regsvr32.exe /s %i

 

Wykonanie tej komendy potrwa ... Poczekaj aż komenda ukończy, czyli nastąpi przejście do nowej linii i ustawienie znaku zachęty na C:\Windows\System32>.

 

2. Zresetuj system. Podaj czy jest jakaś zmiana.

 

 

.

Edytowane 9 Listopada 2012 przez picasso
9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso