Wirus Ukash, blokada komputera.

[piuk11]

Witam. Mam problem z wirusem Ukash, który chce wyłudzić ode mnie 300 zł. Twierdzi, że jestem dystrybutorem pornografii, itp. Wiem, że może temat oklepany, pojawiał się niejednokrotnie, ale chciałbym mieć to indywidualnie wytłumaczone.

 

Problem zaczął się mniej więcej w połowie lipca bieżącego roku. Miałem problem z Live Security Platinum. Najpierw usunąłem go przez Dodawanie i usuwanie programów, potem gdy po ponownym uruchomieniu problem nie ustąpił, usunąłem go przez rejestr, usuwając w którymś HKEY'ów w podfolderze RunOnce dziwny ciąg liczb. Zrobiłem tak dwa razy.

 

Wczoraj, tj. 5.08.12, wyskakiwały częste komunikaty o 16-bitowym podsystemie MS-DOS i jego błędnych skryptach, czy coś w tym stylu. Do wyboru było "Zamknij" lub "Ignoruj". Oczywiście, po wybraniu któregokolwiek okienko ustępowało. Zauważyłem, że w folderze Temp namnażają się co chwilę jakieś ciągi liczbowe, w formacie exe, więc było to ściśle związane z tymi komunikatami. Zdecydowałem się na usunięcie całego folderu Temp(z Kosza oczywiście też), po czym problem na chwilę ustąpił. Wkrótce jednak to powróciło, a aplikacje z ciągiem liczb "pączkowały". Ponadto(przed usunięciem) w tym folderze było mnóstwo ikonek identycznych do tej od Live Security Platinum.

 

Dzisiejszego wieczora nastąpił kolejny atak. Mianowicie, pojawiło mi się okienko z poleceniem zapłacenia 300 złotowej grzywny. Jak zdążyłem się zorientować, to złośliwy wirus, który zamyka explorer.exe i blokuje menedżera zadań. Pogrzebałem w rejestrze, usuwając pliki opatrzone klamerką { i w niej ciąg liczb i liter. usunąłem kilka CLSIDów, jednak bez zmian.

 

załączam OTL'a i za chwilę dołączy Extras, zgodnie z regulaminem.

 

Postanowiłem całość opisać wnikliwie, aby dokładnie przedstawić problem.

 

PS.1 Reinstall systemu usunie wirusa?

PS.2 Czy wirus mógł się "rozsiać" po całym dysku i w ogóle? Dodam, że na C mam system, a D to osobna partycja.

PS.3 Czy kod z generatorów pomaga całkowicie?

PS.4 Liczę na pomoc, ale nie ponaglam, rozumiem wszelakie braki czasu. Zależy mi jednak na tej odpowiedzi.

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Piotrekk\USTAWI~1\Temp\3019.sys -- (3019)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
IE - HKLM\..\SearchScopes\{2EBEE8F5-2E97-4FAF-A54C-A14A88B3073C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=edad3cd6-0893-11e1-af49-1c6f652f9ffb&q={searchTerms}"
IE - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=503c0cd00000000000001c6f652f9ffb"
IE - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003\..\SearchScopes\{2EBEE8F5-2E97-4FAF-A54C-A14A88B3073C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=edad3cd6-0893-11e1-af49-1c6f652f9ffb&q={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/"
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Piotrekk\Dane aplikacji\Mozilla\Firefox\Profiles\n2nr7ahk.default\searchplugins\startsear.xml
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281\SMBHelper.exe ()
O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe ()
O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows System] C:\Documents and Settings\Piotrekk\P-7-78-8964-9648-3874\windll.exe ()
O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [pggncfa] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\ouseko.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - Startup: C:\Documents and Settings\Piotrekk\Menu Start\Programy\Autostart\miivx.exe ()
 
:Files
C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464
C:\Documents and Settings\Piotrekk\P-7-78-8964-9648-3874
C:\Documents and Settings\Piotrekk\M-10-8754-86589-55555
C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto
C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281
C:\Documents and Settings\Piotrekk\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\All Users\Dane aplikacji\6F63A557EF2BB9F102D3760E81CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\529C5327002823C90003ECD60CDF108C
C:\Documents and Settings\Piotrekk\Pulpit\Live Security Platinum.lnk
C:\Documents and Settings\Piotrekk\mine.exe
 
:Reg
[HKEY_USERS\S-1-5-21-1708537768-1659004503-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
"C:\Documents and Settings\Piotrekk\P-7-78-8964-9648-3874\windll.exe"=-
"C:\Documents and Settings\Piotrekk\P-7-78-8964-9648-3874\wincrs.exe"=-
"C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe"=-
"C:\Documents and Settings\Piotrekk\M-10-8754-86589-55555\windog.exe"=-
"C:\Documents and Settings\Piotrekk\M-10-8754-86589-55555\windogz.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2 / YTD Toolbar v6.2 / Babylon toolbar on IE / Vid-Saver / vShare.tv plugin 1.3

 

Otwórz Firefox i w Dodatkach odmontuj: Vid-Saver / pdfforge Toolbar / YTD Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Vid-Saver / vshare plugin

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[piuk11]

Witam. Problem ustąpił. Jesteście wielcy. Dołączam jeszcze OTLa, zgodnie z prośbą. Mogę liczyć na dokończenie sprawy?

OTL.Txt

[Landuss]

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.5 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[piuk11]

dziękuję, Landuss za pomoc. wykonałem wszystko, jednak nastąpił nawrót wirusa, znowu wyskoczyło to okienko. wirus był na tyle cwany, że usunął mi OTL'a ! ściągnąłem go ponownie, wykonując skrypt podany przez Ciebie, komputer znowu śmiga. jednak chciałbym wiedzieć, czy nastąpią kolejne ataki wirusa? czy ten skrypt będzie działać wiele razy? dodam, że restartując kompa, zawieszał się na pierwszym startowym ekranie. proszę o odpowiedź, choć wiem, że może być to kłopotliwe.

 

EDIT: usunąłem te różne Toolbary, jak podawałeś. jednak gdy chciałem je odmontować w przeglądarkach, to nie wszystkie tam widniały. dodaję, o ile jest to istotne.

[Landuss]

Skrypty są unikatowe i są pisane tylko pod dany system i daną infekcję. Infekcja ma zmienne nazwy obiektów więc skrypt nie będzie zawsze pasował wiele razy jak to sugerujesz.

 

wirus był na tyle cwany, że usunął mi OTL'a

 

To nie wirus tylko opcja Sprzątanie z OTL usuwa OTL i jego logi, takie jest jej przeznaczenie.

[piuk11]

Aha, dzięki za info. Dołączę teraz nowe logi z nowego skanowania.

 

Czy przy dwóch partycjach dysku reinstal systemu+format dysku systemowego usunie tą infekcję? Czy też możliwe jest, że wirus wędruje po dysku i jest nieuchwytny?

OTL.Txt

[Landuss]

Tu nadal jest infekcja.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281\SMBHelper.exe ()
O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe ()
 
:Files
C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464
C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto
C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[piuk11]

nastąpił kolejny atak. wrzucam nowe logi, ale uprzedzam, że nie użyłem od poprzedniej, czyli drugiej infekcji opcji Sprzątanie, itd. tym razem przeskanowałem wszystkie pliki. oprócz skryptów proszę o odpowiedź, czzy przy dwóch partycjach dysku reinstal systemu+format dysku systemowego usunie tą infekcję?

 

EDIT:

 

Doszedłem do wniosku, że to świństwo mogłem zawlec z Facebooka. 3 sierpnia koleżanka podesłała mi link w którym był plik widoczny na screenie.

 

 

 

z głupia go otworzyłem, i wyskakiwał error, że błąd zawartości czy cóś. dodatkowo dziś zauważyłem, że w aplikacjach dodało mi także 3 sierpnia niejaki TripAdvisor, oczywiście na niego nie wchodząc.

 

co ciekawsze, kilkadziesiąt minut później inny użytkownik, kolega, napisał to co widnieje na powyższym screenie.

 

z góry dzięki za cierpliwość, bo wiem, że sprawa się przeciąga.

OTL.Txt

[Landuss]

Rzeczywiście znowu się zaprawiłeś. Ale znasz juz źródło i radzę uważać z Facebookiem.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281\SMBHelper.exe ()
O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe ()
 
:Files
C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464
C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto
C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[piuk11]

jak dotąd wszystko gra. załączam OTL'a

OTL.Txt

[Landuss]

Wykonane. W takim razie Sprzątanie w OTL.

[piuk11]

Wielkie dzięki za ten kawał dobrej roboty. Należą się wielkie słowa uznania za tą bezinteresowną pomoc

 

btw:

jak jednak zauważyłem to w dwóch moich przypadkach wchodzi to "hellomoto" i 2281 oraz M-10-6897-8685-3464

czyli właściwym będzie następujący skrypt : ???

 

 

:Files

C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464

C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto

C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281

 

:Commands

[emptytemp]

[Landuss]

Jak najbardziej, tylko ten obiekt C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281 ma zmienne cyfry i na to trzeba uważać.