Ransomware Ukash

[advaldo]

Przeglądając internet (youtube, onet itp) złapałem wirus Ukash. Próbowałem się go pozbyć poprzez przywrócenie systemu (podczas startu systemu), który w teori się nie udał, tak mi oznajmił system, ale w praktyce już przy kolejnym starcie windowsa wirus się nie ujawnił (3-4 razy restartowałem komputer, proces explorer.exe nie jest zamykany).

Wykonałem również skan Spybot-Search&Destroy ale nic nie znalazł. Komputer wydaje się działać ok, ale tak niepewne rozwiązanie problemu powoduje u mnie obawy, że może się to wszystko nawrócić.

 

Zamieszczam logi:

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[ayla]

Spybot to staroć, nic nie wart obecnie. Lepiej używać Malwarebytesa na żądanie. Jest darmowy i skuteczny. To tak na przyszłość

[picasso]

advaldo, w raportach jest tylko widoczny odpadek infekcji UKASH w postaci tego pliku:

 

[2009-07-14 01:11:59 | 000,126,976 | ---- | C] () -- C:\Users\Adam\AppData\Roaming\msconfig.dat

 

Przez moment zainteresował mnie też i ten plik (to podobno jakiś crack do PES):

 

[2012-06-17 15:12:46 | 000,171,008 | ---- | C] () -- C:\Windows\System32\rld.dll

 

 

Przeprowadź następujące działania:

 

1. Skoryguj sytuację w oprogramowaniu zabezpieczającym. Spybot-Search & Destroy do deinstalacji, jak już powiedziane powyżej jest to archaizm. Aktualnie masz uruchomione równolegle Norton Internet Security + Ad-Aware Antivirus. Na dodatek Norton sypie błędami w Dzienniku zdarzeń i jest bardzo stary.

 

Error - 2012-09-17 04:22:21 | Computer Name = Adam-Komputer | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   SRTSP
 
Error - 2012-09-17 06:19:15 | Computer Name = Adam-Komputer | Source = SRTSP | ID = 524292
Description = Error loading virus definitions.
 
Error - 2012-09-17 06:19:15 | Computer Name = Adam-Komputer | Source = SRTSP | ID = 524293
Description = Error loading Symantec real time Anti-Virus driver.

 

Tak więc to on do deinstalacji, następnie z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem Norton Removal Tool.

 

2. Pozbądź się problematycznego firewalla NVIDIA ForceWare Network Access Manager. Odinstaluj via Panel sterowania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Adam\AppData\Roaming\msconfig.dat
C:\Users\Adam\AppData\Roaming\mozilla\firefox\profiles\439d5vko.default\searchplugins\conduit.xml
C:\Users\Adam\AppData\Roaming\mozilla\firefox\profiles\439d5vko.default\searchplugins\startsear.xml
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\user.js
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=3412_3&babsrc=KW_ss&mntrId=d05f27e400000000000020cf30a9441f&q="
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKLM\..\SearchScopes\{B535150B-4AEA-4e17-91BB-8D36E479E5CB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=f3e318e0-47a5-11e1-bc15-20cf30a9441f&q={searchTerms}"
IE - HKU\S-1-5-21-104515065-3601198357-901761486-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3412_3&babsrc=SP_ss&mntrId=d05f27e400000000000020cf30a9441f"
IE - HKU\S-1-5-21-104515065-3601198357-901761486-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-104515065-3601198357-901761486-1001\..\SearchScopes\{B535150B-4AEA-4e17-91BB-8D36E479E5CB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=f3e318e0-47a5-11e1-bc15-20cf30a9441f&q={searchTerms}"
IE - HKU\S-1-5-21-104515065-3601198357-901761486-1001\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O4 - HKU\S-1-5-21-104515065-3601198357-901761486-1001..\Run: [saitekInstall] "D:\WinXP\setup.exe" -S0 -R File not found
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys -- (AODDriver4.01)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\amdiox86.sys -- (amdiox86)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[advaldo]

Wszystkie podpunkty wykonane bezproblemowo, wirus się nie ujawniał w międzyczasie.

AdwCleanerS1.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

[picasso]

1. Nie wygląda na to, byś odinstalował Spybot - Search & Destroy. Jak mówiłyśmy, jest to staroć. Poza tym, w systemie jest już wbudowany program tego rodzaju = Windows Defender.

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj aktualizacje: KLIK. Tu konkretnie widać brak aktualizacji Windows (pakietu SP1 + IE9) oraz wersje:

 

Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

 

PS. I jeszcze Gadu-Gadu 10 tu zwraca uwagę. Proponuję obejrzenie lżejszych alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[advaldo]

1.Wczoraj Spybot Search&Destroy odinstalowałem przez panel sterowania, dzisiaj 1 plik nie mogę usunąć z folderu z nim związanego w Program Files (nie sprawdzałem wczoraj czy pozostały jakieś pliki w folderze), mianowicie SDHelper.dll "Nie można ukończyć akcji, ponieważ plik jest otwarty w programie Eksplorator Windows".

[picasso]

Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
 
:Files
C:\Program Files\Spybot - Search & Destroy

 

Klik w Wykonaj skrypt. Gdy zadanie się wykona, do wdrożenia punkty 2 do 4 z poprzedniego mojego posta.

 

 

 

.

[advaldo]

Wszystko przebiegło bezproblemowo, dziękuję serdecznie za pomoc.