Wirus UKASH / Weelsof, nie wiem jak się pozbyć

[piku147]

Witam, syn zadzownił, że mu na ekranie wyskoczyl nakaz zapłaty 300 zł i komputer został zablokowany. Poczytałem troche i generalnie ludzie radzą pozbyć się tego programem ComboFix, jednak zalecają wczesniejszy kontakt z kims kto sie na tym zna, bo moge jeszcze bardziej zaszkodzić PCtowi. Także zwracam się do was o pomoc.

 

Logi

OTL.Txt

Extras.Txt

[picasso]

Na temat używania ComboFix: KLIK. ComboFix zbędny. Usuwanie można przeprrowadzić w mniej inwazyjny sposób.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\oem\AppData\Roaming\OpenCandy
C:\Users\oem\AppData\Roaming\mozilla\firefox\profiles\2822tujd.default\searchplugins\startsear.xml
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Windows\${FILENAME_INI}
 
:OTL
IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4c61a590-f436-11e0-8e8a-002215d9dc72&q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4c61a590-f436-11e0-8e8a-002215d9dc72&q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1000\..\SearchScopes\{BEE2FA4F-4338-418F-9131-1B1AFB49611C}: "URL" = "http://www.bigseekpro.com/search/browser/solidyoutube/{C5030CA6-37DB-45C8-9459-D83C1ED7E542}?q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4c61a590-f436-11e0-8e8a-002215d9dc72&q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1001\..\SearchScopes\{BEE2FA4F-4338-418F-9131-1B1AFB49611C}: "URL" = "http://www.bigseekpro.com/search/browser/solidyoutube/{C5030CA6-37DB-45C8-9459-D83C1ED7E542}?q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1002\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4c61a590-f436-11e0-8e8a-002215d9dc72&q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1002\..\SearchScopes\{BEE2FA4F-4338-418F-9131-1B1AFB49611C}: "URL" = "http://www.bigseekpro.com/search/browser/solidyoutube/{C5030CA6-37DB-45C8-9459-D83C1ED7E542}?q={searchTerms}"
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1001\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1002\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll File not found
O3 - HKLM\..\Toolbar: (DealBulldog Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll File not found
O4 - HKLM..\Run: [TaskTray]  File not found
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1000..\Run: [service Host] C:\Users\oem\AppData\Roaming\Sony\svhost.exe ()
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1001..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1001..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk File not found
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1002..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva398.sys -- (XDva398)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Reg
[HKEY_USERS\S-1-5-21-3512081345-999257919-1553484787-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-3512081345-999257919-1553484787-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{01FDF418-3973-4C7C-9308-1192FD608C56}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{F40366E2-F5AB-4917-B5AD-4A6ED2818DF4}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware DealBulldog Toolbar, vShare.tv plugin 1.3 oraz zbędny Akamai NetSession Interface.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[piku147]

Dziekuje pieknie, system wrócił do życia. Co do vShare, jest to mocno szkodliwe? Syn mówi, że dzieki temu może mecze w przeglądarce oglądać.

 

Logi

AdwCleanerS1.txt

OTL.Txt

[picasso]

Czyszczenie wprawdzie przeprowadzone, ale coś wpisy z jednego konta nie chciały zniknąć. Poprawka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1001\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
IE - HKU\S-1-5-21-3512081345-999257919-1553484787-1001\..\SearchScopes\{BEE2FA4F-4338-418F-9131-1B1AFB49611C}: "URL" = "http://www.bigseekpro.com/search/browser/solidyoutube/{C5030CA6-37DB-45C8-9459-D83C1ED7E542}?q={searchTerms}"
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1000..\Run: [Akamai NetSession Interface] "C:\Users\oem\AppData\Local\Akamai\netsession_win.exe" File not found
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1001..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found
O4 - HKU\S-1-5-21-3512081345-999257919-1553484787-1001..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk File not found
 
:Reg
[HKEY_USERS\S-1-5-21-3512081345-999257919-1553484787-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-3512081345-999257919-1553484787-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-3512081345-999257919-1553484787-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Zrób nowy log z OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

Co do vShare, jest to mocno szkodliwe? Syn mówi, że dzieki temu może mecze w przeglądarce oglądać.

 

Wiem do czego służą vShare oraz LiveVDO (ten sam typ wtyczek i takie same szkody). Problem w tym, że te wtyczki są nastawione na brudzenie systemu i przy ich instalacji jest wdrażana rekonfiguracja przeglądarek (gwałt preferencji i przekierowania na podejrzane wyszukiwarki typu startsear.ch czy error). Czy syn się w ogóle zorientował co się działo podczas instalacji i jakie są efekty? Skutki to dodatkowe czyszczenie systemu tu prowadzone i używanie AdwCleaner ... Tu jest bardzo dużo tematów na forum z problemami po instalacji tego bagna i nasze starania, by przywrócić konfiguracje przeglądarek do normy.

Stanowczo odradzam ten śmietnik, ale wiem co będzie dalej: on to zignoruje i zainstaluje ponownie. Ostrzegam więc: podczas instalacji musi być odznaczona opcja "Recommended", którą z premedytacją ustawiono jako domyślną, wtedy jest dostęp do odznaczania śmieci. Nie wiem czy coś się zmieniło od czasu gdy kiedyś to testowałam i czy aby nie posunęli się w bezczelności dalej.

 

 

 

.

[piku147]

Zrobione

OTL.Txt

[picasso]

Zadanie wykonane pomyślnie. Kończymy:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Fireox)
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: odinstaluj wszystkie wyliczone tu pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj Firefox, zainstaluj pakiet SP3 dla Office 2003.

 

 

Uwaga poboczna: jest tu zainstalowany "koszmar z ulicy Wiązów" czyli Gadu-Gadu 10. Zasobożerny reklamodawczy program. Polecam alternatywne programy z obsługą sieci Gadu: WTW, AQQ, Kadu, WTW. Opisy: KLIK.

 

 

.

[piku147]

Zrobione, dziękuje, tylko z GG nie ruszałem, bo by mnie syn zadźgał chyba, dam mu tylko do zrozumienia, żeby sam sobie przeinstalował na WTW, który już mu pobrałem.

 

Poza tym, czy ze swojej strony mogę jakoś zapobiec powtórzeni się tej sytuacji z UKASH, czy to zależy wyłącznie od tego po jakich szemranych stronach mój pierworodny będzie hulał?

[picasso]

Poza tym, czy ze swojej strony mogę jakoś zapobiec powtórzeni się tej sytuacji z UKASH, czy to zależy wyłącznie od tego po jakich szemranych stronach mój pierworodny będzie hulał?

 

Wątek poświęcony temu typowi infekcji: KLIK. Podstawowe aktualizacje już zaleciłam. Możesz także wprowadzić zabezpieczenie w rodzaju wirtualnego środowiska SandBoxie (po 30-dniach nadal można korzystać z programu, ale pojawia się uprzykrzający przypominacz o zakupach).

 

 

.