UKASH i System Progressive Protection

[pafeu]

witam

teraz przyszła kolej na mnie

proszę o pilną pomoc

Extras.Txt

OTL.Txt

[picasso]

Log jest zrobiony z poziomu złego konta, czyli Gościa i brak uprawnień administracyjnych:

 

Computer Name: PAWEL-KOMPUTER | User Name: Gość | NOT logged in as Administrator.

 

Nie, logi muszą pochodzić z konta na którym jest problem. Start w Trybie awaryjnym, logowanie na konto Paweł, robisz nowe logi OTL. Logi podmieniasz w pierwszym poście, zawiadamiasz o edycji na PW i dopiero wtedy zaczniemy rozmawiać o usuwaniu.

 

EDIT: Logi podmienione. Tu są aż trzy infekcje: UKASH + System Progressive Protection (to po prostu "nowa" wersja rogue Live Security Platinum) + infekcja uruchamiana przez Harmonogram. Tytuł tematu dopasowałam nieco adekwatniej. Czyścimy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [xinput1_3] C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504\xinput1_3.exe ()
O4 - HKU\S-1-5-21-3093251199-1111511822-1964126028-1001..\RunOnce: [b7945A197653149C0038B794219A2938] C:\ProgramData\B7945A197653149C0038B794219A2938\B7945A197653149C0038B794219A2938.exe ()
O7 - HKU\S-1-5-21-3093251199-1111511822-1964126028-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504
C:\Users\Pawel\AppData\Roaming\hellomoto
C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection
C:\Users\Pawel\Desktop\System Progressive Protection.lnk
C:\ProgramData\B7945A197653149C0038B794219A2938
C:\Windows\System32\C_20105X.dll
C:\Windows\tasks\CYZEOU.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner.

 

 

 

.

[pafeu]

?

FSS.txt

OTL.Txt

[picasso]

Co ma znaczyć ten pytajnik? W kwestii zadań: wszystko wykonane.

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-3093251199-1111511822-1964126028-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012-09-27 02:56:13 | 000,000,000 | -HSD | C] -- C:\RECYCLER
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po restarcie systemu w OTL uruchom Sprzątanie.

 

2. Włącz funkcje zdeaktywowane przez malware:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender też wyłączony, ale ten omijamy (czynna Avira w tle).
  
• Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"
  

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[pafeu]

chyba jest dobrze

mbam-log-2012-09-28 (01-15-51).txt

[picasso]

1. Wyniki w MBAM: nic szczególnego, ale to usuń. Ten crack podejrzany, a wyniki PUM.Disabled.SecurityCenter to po prostu wyłączone powiadomienia Centrum zabezpieczeń.

 

2. Do deinstalacji przestarzała wersja Ad-aware, do aktualizacji system (brak SP1) i wyliczone poniżej aplikacje: KLIK. W systemie obecnie widać:

 

Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"FileZilla Client" = FileZilla Client 3.5.1
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Opera 11.64.1403" = Opera 11.64
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3093251199-1111511822-1964126028-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 21.0.1180.89
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

 

+ Service Pack dla SQL Server 2008 R2: KB2527041

 

 

PS. Gadu-Gadu 10 też sugeruję zamienić lżejszym i przyjaźniejszym dla zasobów programem z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[pafeu]

Picasso dziękuję Ci bardzo za pomoc.

System działa.