ukash

[S1vy]

Zdaje sie że mam nieprawdopodobnego pecha. Ten syf znowu mi wlazł, tym razem blokuje tryb awaryjny i tryb awaryjny z obsługą sieci (automatycznie wylogowuje). Na szczęście działa tryb awaryjny z wierszem poleceń więc zdołałem wykonać logi. Pomocy.

 

Edit: Przywracanie systemu zadziałało, w załączniku świeże logi.

OTL.Txt

Extras.Txt

[picasso]

Przywracanie systemu odkręciło stan, zostały do wyczyszczenia pliki po infekcji, drobnostki adware i wpisy puste.

 

1. Przez Panel sterowania odinstaluj adware Vuze Remote Toolbar oraz zbędny GeekBuddy od COMODO.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Adam\AppData\Roaming\skype.dat
C:\ProgramData\lsass.exe
C:\ProgramData\iifvhmqdnwbukrt
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Windows\System32\SBRC.dat
C:\Program Files\Conduit
C:\Users\Adam\AppData\Local\Conduit
C:\Users\Adam\AppData\Local\CRE
C:\prefs.js
C:\END
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=6EE031FB004CB5EDA5E228507555F38B&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
O4 - HKLM..\Run: [sBRegRebootCleaner] "C:\Program Files\Ad-Aware Antivirus\SBRC.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\SBREdrv.sys -- (SBRE)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[S1vy]

Oto logi:

OTL.Txt

AdwCleanerS1.txt

[S1vy]

Przed chwilą miałem dziwną sytuację: Najpierw tak jak by się zamknął explorer i pokazała się goła tapeta pulpitu, po chwili wszystko wróciło do normy a jakieś 2 minuty później znowu wylazł mi ukash (co ciekawe w tym czasie miałem włączone 3 strony internetowe: Facebook, Gumtree i Muno.pl więc jakoś nie chce mi się wierzyć żeby stamtąd coś wlazło). Zamknąłem więc system, ukash zniknął i pojawiło się okienko z pytaniem czy na pewno chcę zamknąć Operę. Anulowałem i system się nie zamknął... Ale znając życie po restarcie znowu mi ten syf wylezie. Czy to możliwe, że z tamtego jeszcze coś zostało i się "reaktywował" czy musiałem już złapać nowego? I co teraz? Te logi z posta powyżej jeszcze się do czegoś nadadzą czy muszę już zrobić nowe?

[picasso]

Skoro znów się ujawnił, to wymagane są świeże logi OTL z dziś.

[S1vy]

Tak jak przewidywałem, po restarcie znowu się pojawił Na szczęście przywracanie systemu i tym razem dało radę. Log w załączniku.

 

A tak przy okazji: Ukash wzięty z muno.pl (przeglądarka u mnie i u mojej dziewczyny zaleca nie wchodzić). Jak tak dalej pójdzie to chyba bezpieczniej będzie nie mieć internetu

OTL.Txt

[picasso]

Skoro infekcja miała nawrót, to ja raczej podejrzewam, że odwiedziłeś jakąś szkodliwą stronę, nieświadomy, że transportuje ona trojana. Zrobiłeś Przywracanie systemu ponownie, więc w logu ponownie nic teraz nie widać (jeden plik odpadkowy infekcji skype.dat, nie jest ładowany). Tylko kosmetyczne poprawki:

 

1. W raporcie nadal GeekBuddy COMODO. Odinstaluj, o ile to możliwe po Przywracaniu systemu.

 

2. W Google Chrome jest adware v9:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=395049983_1052499_1486A892&ts=1358795783"
CHR - default_search_provider: v9 (Enabled)
CHR - default_search_provider: search_url = "http://search.v9.com/web/?q={searchTerms}"
CHR - default_search_provider: suggest_url = 
CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=395049983_1052499_1486A892&ts=1358795783"

 

Wejdź do ustawień przeglądarki. W sekcji "Po uruchomieniu" z listy stron startowych wymaż strony v9 i ustaw opcję "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy wyszukiwarkę v9.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O4 - HKLM..\RunOnce: [*CA]  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2009-07-14 00:11:59 | 000,106,496 | ---- | C] () -- C:\Users\Adam\AppData\Roaming\skype.dat
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):"autocheck autochk *"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[S1vy]

GeekBuddy usunięty, v9 z chroma usunięte, w załączniku świeży log.

OTL.Txt

[picasso]

1. W Google Chrome nadal widać strony startowe adware v9:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=395049983_1052499_1486A892&ts=1358795783"
CHR - homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=395049983_1052499_1486A892&ts=1358795783"

 

Jeśli w konfiguracji przeglądarki tego nie widać, to zedytuj bezpośrednio plik Preferences. Zamknij przeglądarkę, nie może być uruchomiona podczas edycji. Otwórz w Notatniku plik:

 

C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj dwa wystąpienia frazy homepage i zastąp adresy.

 

2. W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji cały Windows (brak SP1 + IE9) i wyliczone poniżej programy:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

 

Dziurawa Java to jedna z dróg tej infekcji.

 

 

 

.

[S1vy]

Wszystko zrobione wg instrukcji. Dzięki za pomoc i mam głęboką nadzieję już tu nie wracać