Wirus UKASH

utah69 · 10 Września 2012

Witam serdecznie.

Mam problem z tym wirusem i niewiem od jakich programów zaczą proszę o pomoc.

Dzięki

picasso · 10 Września 2012

Zasady działu wszystko objaśniają: KLIK. Czyli startujesz w Trybie awaryjnym, logujesz się na właściwe konto (to na którym ujawniła się infekcja), robisz logi do oceny.

utah69 · 10 Września 2012

Witam

wykonałem skrypty. Czekam na dalsze instrukcje

Pozdrawiam

Poprawione tylko w OTL wyskoczył jakiś błąd musiałem go pominąc niewiem czy był on istotny

Mam nadzieje że wszystko zrobiłem jak należy

OTL.Txt

Extras.Txt

picasso · 10 Września 2012

Infekcji tu chmara, nie tylko UKASH, w tym trojan sdra64.exe przechwytujący (!) dane. Mówiłam:

Czyli startujesz w Trybie awaryjnym, logujesz się na właściwe konto (to na którym ujawniła się infekcja), robisz logi do oceny.

Nie wygląda na to, by logi były zrobione z tego konta co należy. Podane tu zrobiono z poziomu wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: KASPRZAKOWIE | User Name: Administrator | Logged in as Administrator.

Konta mają różne rejestry i foldery, logi muszą być zrobione z poziomu konta na którym nastąpiła infekcja. Przeloguj się na właściwe konto, zrób nowe logi z OTL, podmień załączniki w poście powyżej i zawiadom na PW o edycji.

EDIT: Logi podmienione. Przechodzimy do czyszczenia:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\1025fa.exe srv -- (srserviceUPSPolicyAgentSpoolerSwPrv)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437quj.exe srv -- (srserviceUPSPolicyAgentSpooler)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\aaaamonu.exe srv -- (srserviceUPSPolicyAgent)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\acleditw.exe srv -- (srserviceUPS)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437c.exe srv -- (srserviceERSvcSENSSamSsVSSwscsvcupnphost)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\12520437qujp.exe srv -- (srserviceERSvcSENSSamSs)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\1042s.exe srv -- (srserviceERSvcSENS)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\aaaamonzd.exe srv -- (srserviceERSvcERSvc)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\amstreamx.exe srv -- (srserviceERSvc)
SRV - [2009-03-08 15:38:34 | 000,057,856 | RHS- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\12520437qujy.exe -- (ALGdmadmin)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ws2_32sik.sys -- (ws2_32sik)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\systemntmi.sys -- (systemntmi)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\securentm.sys -- (securentm)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\port135sik.sys -- (port135sik)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\nicsk32.sys -- (nicsk32)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\netsik.sys -- (netsik)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ksi32sk.sys -- (ksi32sk)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\i386si.sys -- (i386si)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\fips32cup.sys -- (fips32cup)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ati64si.sys -- (ati64si)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\amd64si.sys -- (amd64si)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\acpi32.sys -- (acpi32)
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\All Users\Dane aplikacji\mrkyqrii) - C:\Documents and Settings\All Users\Dane aplikacji\mrkyqrii.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe ()
O27 - HKLM IFEO\RapportMgmtService.exe: Debugger - ZASRAKOMONDOHUI31338.EXE File not found
O27 - HKLM IFEO\RapportService.exe: Debugger - ZASRAKOMONDOHUI31338.EXE File not found
O29 - HKLM SecurityProviders - (digeste.dll) -  File not found
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledAddons: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}:3.15.1.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q="
 
:Files
C:\Documents and Settings\Kasprzak\Ustawienia lokalne\Dane aplikacji\mrkyqrii.exe
C:\Documents and Settings\Kasprzak\Dane aplikacji\mrkyqrii.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\mrkyqrii.exe
C:\Documents and Settings\Administrator\Dane aplikacji\mrkyqrii.exe
C:\Documents and Settings\Kasprzak\Dane aplikacji\Mozilla\Firefox\Profiles\lni07gql.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
C:\Documents and Settings\Kasprzak\Dane aplikacji\Mozilla\Firefox\Profiles\lni07gql.default\searchplugins\conduit.xml
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\

6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\

00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\

53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\

00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\

76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\

00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\

69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\

00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\

49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\

00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\

76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\

00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\

73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\

00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\

00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\

00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\

74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\

00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\

63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\

00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\

4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\

00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\

00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\

00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\

32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\

00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\

00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\

00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\

61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\

00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\

65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\

00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\

73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\

00,00,00

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

3. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar, Conduit Engine, Free_Lunch_Design Toolbar, Yahoo! Companion.

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

.

utah69 · 10 Września 2012

Witam

Zrobiłem szczystko o czym mówiłaś nie mam tylko OTL z usuwania nie moge go znalesc. Z GMER-a niemoge wysłac pisze ze nie mam uprawnien chyba że coś znowu sknociłem

Pozdrawiam

OTL.Txt

AdwCleanerS1.txt

picasso · 10 Września 2012

Log z usuwania OTL jest w katalogu C:\_OTL. GMER nie możesz dołączyć, bo zapisałeś plik z rozszerzeniem *.LOG, a załączniki akceptują tylko *.TXT = ręcznie zmień nazwę pliku i doczep plik.

utah69 · 10 Września 2012

Zrobione

Gmer.txt

09102012_194521.txt

picasso · 11 Września 2012

To na pewno pełny skan GMER a nie preskan? O ile większość czyszczenia wykonana, to nie odinstalowałeś Yahoo! Companion oraz jest problem (spodziewałam się tego) z tym trojanem:

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Tu trzeba zastosować mocniejsze narzędzie niż OTL. Uruchom ComboFix i przedstaw wynikowy raport.

.

Edytowane 12 Października 2012 przez picasso
12.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Wirus UKASH

Rekomendowane odpowiedzi

utah69

Odnośnik do komentarza

picasso

Odnośnik do komentarza

utah69

Odnośnik do komentarza

picasso

Odnośnik do komentarza

utah69

Odnośnik do komentarza

picasso

Odnośnik do komentarza

utah69

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność