Komputer zainfekowany ransomwarem (Ukash)

[LTPS]

Witam,

mój komputer został zainfekowany "Ukashem", żadna z metod podanych przez CERT (http://www.cert.pl/news/5707) nie zadziałała, oto logi z OTL którego uruchomiłem w trybie awaryjnym z wiersza polecenia:

 

OTL: http://pastebin.com/WtXrxEd3

Extras: http://pastebin.com/SVjfkf5A

Dorzucam jeszcze raport z Autorunsu, może coś uda Wam się znaleźć wersja w pliku .arn: http://speedy.sh/mT6ck/AutoRuns.arn wersja tekstowa: http://pastebin.com/sAGayZY1

Proszę o pomoc i pozdrawiam,

LTPS.

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{824289E7-C086-4BB3-82E0-60676B1725CD}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=E9B797CF-EFB6-490A-81B0-357D3FC04A70&apn_sauid=12876BFC-61BF-46AF-97B4-721FC5D3EFA6&"
[2011/04/08 00:51:04 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4:64bit: - HKLM..\Run: []  File not found
O4 - HKLM..\Run: []  File not found
 
:Files
C:\Users\user\AppData\Roaming\Zefyvi
C:\Users\user\AppData\Roaming\Udut
C:\Users\user\AppData\Roaming\Giet
C:\Users\user\AppData\Roaming\msconfig.dat
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Edytowane 17 Października 2012 przez picasso
17.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso