Prośba o pomoc z Ukash

[pauls35]

Witam,

 

Prośba o pomoc. Na (dzięki losowi gorszym) komputerze pojawił się komunikat, że jest zablokowany przez Ukash i trzeba wpłacić 500 zł. Wszystko się zablokowało.

 

Na działającym kompie wyszukałem co to jest (nie znałem tej suuuuper strony wczesniej i jej zasad na temat logów - zielony jestem). I przeczytałem info (spowiadam się - użyłem go), że Combofix pomaga i że uruchomić komputer w trybe awaryjnym najlepiej.

 

No to uruchomiłem w trybie awaryjnym, Combofix przeciągnąłęm z działającego kompa na ten zły przy pomocy pendrive'a, Combofix "zrobił swoje". Uruchomił system ponownie w normalnym trybie i niby działa. Bałem się o internet ale ten też działa.

 

Ale czy ktoś mógłby sprawdzić czy ten wirus zniknął całkowicie i Combofix narobił dużo szkód? Nie załamujcie się brakiem aktualizacji na tym kompie proszę. Od czasu do czasu po tym Combfixie pojawia się komunikat o jakiś plikach że są uszkodzone i że nie nadają sie do odczytu i że trzeba uruchomić program CHKDSK (?). Ale wszystko działa ok narazie.

 

Poczytałem to forum i zainstalowałem OTL. Załączam logi: Comobifix (cholera użyłem), OTL i Extras i proszę o pomoc!

 

Czy trzeba teraz usunąć Combofix? A jak się usunie to Ukash nie "wróci"?

 

Help

ComboFix.txt

OTL.Txt

Extras.Txt

[Landuss]

ComboFix usunął też rootkita ZeroAccess w starszej wersji więc szkody ci na pewno nie narobił a pożytek. Tu jeszcze nie koniec usuwania bo jest pozostałość po "Ukash" a poza tym siedzi kolejna infekcja - Conficker. Podsumowując miałeś trzy rodzaje infekcji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ScFBPNT3.dll -- (vproeventmonitor)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\lvvtnutg.dll -- (fpjojfbda)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vobid.sys -- (VOBID)
DRV - File not found [Kernel | Boot | Stopped] -- SYSTEM32\Drivers\Teefer.sys -- (Teefer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\STAC97.sys -- (STAC97)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\ENTECH.sys -- (ENTECH)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\szeffel\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys -- (cpuz134)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\cmuda.sys -- (cmuda)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e"
IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e&q={searchTerms}"
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{F3A28E5B-E4D1-4EDA-869A-F50889996CCA}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&tt=060612_7_&babsrc=SP_ss&mntrId=74a2dd37000000000000003005bfb55e"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{103521B8-A8AD-40FD-B0E9-6F662816F84B}: "URL" = "http://start.facemoods.com/?a=bf&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{179F5766-258D-4165-8110-1C5202BC2721}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=cdab10fe-d01f-11e0-a819-000fea22bd82&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{F3A28E5B-E4D1-4EDA-869A-F50889996CCA}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
[2012-06-22 15:33:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
[2012-04-04 12:59:37 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de
[2012-06-22 15:39:39 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-07-14 14:29:52 | 000,002,045 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\szeffel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
 
:Files
C:\WINDOWS\ecokzifw.exe
C:\Documents and Settings\All Users\Dane aplikacji\brmcrftcehinhtd
C:\Documents and Settings\All Users\Dane aplikacji\ahmhyevpiorguit
 
:Reg
[HKEY_USERS\S-1-5-21-515967899-1532298954-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"6005:TCP"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj tę koszmarnie starą zaporę Sygate Personal Firewall. Program od dawna jest wymarły, nieaktualizowany.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Gmer

[pauls35]

W sobotni wieczór taka super od razu reakcja! Dziękuję!!

 

1. Wykonałem skrypt po restarcie pojawił się komunikat jak w załączniku 0929...

2. Wywaliłem starego Firewalla.

3. AdwCleaner log z opcji Delete to drugi załącznik

4. I załączniki: log z OTL ponownego i z Gmera (nie było żadnych problemów przy jego uruchamianiu).

 

Jak mnie nie ochrzanicie, to mam pytanko czy też wywalony został Conficker, czy to temat na jakąś dłuższą rozprawę z nim?

 

Dziękuję za reakcję i pomoc!

09292012_214308.txt

AdwCleanerS1.txt

OTL.Txt

GMER.txt

[Landuss]

Jak mnie nie ochrzanicie, to mam pytanko czy też wywalony został Conficker, czy to temat na jakąś dłuższą rozprawę z nim?

 

To już zostało usunięte w skrypcie. Ogólnie to by było wszystko z usuwania.

 

Przejdź do finalizacji tematu:

 

1. Odinstaluj poprawnie ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "G:\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5

"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[pauls35]

Dziękuję!

 

Tylko się nie śmiejcie, ale mam jeszcze pytanie:

po skrypcie OTL pojawiał się przy starcie komunikat: "Potrzebny jest plik STAC97.sys z AC97 WDM SigmaTel Driver Disk". Prosił o wpisanie ścieżki pliku

 

Co prawda przeżyję - ale dźwięku brak.

Chyba sterowniki trzeba załadować, bo w Panelu sterowania --> Dźwięki i urządzenia audio --> Sprzęt --> Kontroler multimediów audio --> Właściwości urządzenia --> Stan urządzenia: Sterowniki tego urządzenia nie są zainstalowane. (Kod 28)

 

Próbowałem na własną rękę coś wykombinować, ale wykombinowałem tyle, że nie ma tego komunikatu przy starcie, ale dźwięku też nie ma, czyli nic nie wykombinowałem :/

 

Jakie tu dane byłyby potrzebne? Z programu EVERST:

 

Nazwa płyty głównej FUJITSU SIEMENS D1875

 

[Dźwięk PCI / PnP ] SiS 7012 Audio Device PCI

 

[ Sprzęt ]

Kontrolery dźwięku, wideo i gier:

Kodery-dekodery audio 5.1.2535.0

Kodery-dekodery wideo 5.1.2535.0

Kontroler multimediów audio

Microsoft Kernel Acoustic Echo Canceller 5.1.2535.0

Microsoft Kernel Audio Splitter 5.1.2535.0

Microsoft Kernel DLS Synthesizer 5.1.2535.0

Microsoft Kernel DRM Audio Descrambler 5.1.2535.0

Microsoft Kernel Wave Audio Mixer 5.1.2535.0

Starsze sterowniki audio 5.1.2535.0

Starsze urządzenia przechwytywania wideo 5.1.2535.0

Syntezator tablicy dźwięków WAVE Microsoft Kernel GS5.1.2535.0

Urządzenia sterujące mediami 5.1.2535.0

Urządzenie audio Microsoft Kernel System 5.1.2535.0

 

Ściagnąć sterowniki z tej strony? http://support.ts.fujitsu.com/Download/ShowFiles.asp

 

Przeżyję bez tego, ale jak wiecie coś to help dobrzy ludzie! Chyba że to pomoc już dla serwisu jakiegoś.

 

A jeszcze wlazłem do Menedżera urządzeń i tam rzeczywiście przy tym Kontrolerze multimediów audio jest wykrzyknik.

 

Skopiowałem Identyfikatory sprzętu tego Kontrolera:

PCI\VEN_1039&DEV_7012&SUBSYS_105E1734&REV_A0

PCI\VEN_1039&DEV_7012&SUBSYS_105E1734

PCI\VEN_1039&DEV_7012&CC_040100

PCI\VEN_1039&DEV_7012&CC_0401

 

Czy to jeszcze jakieś dane by potrzeba?

[Landuss]

A jeszcze wlazłem do Menedżera urządzeń i tam rzeczywiście przy tym Kontrolerze multimediów audio jest wykrzyknik.

 

Z prawokliku daj odinstaluj. Zrestartuj system i sprawdź czy nadal jest ten wykrzyknik.

Edytowane 30 Października 2012 przez picasso
30.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso