Ukash - policja, zablokowany dostęp do komputera

[noordinary]

Witam,

 

Dziś dostałem komputer od znajomego, któremu znany malware Ukash - policja zablokował komputer. Problem z tym ustrojstwem już wcześniej z Waszą pomocą przerabiałem .

 

W trybie awaryjnym wykonałem wymagane logi OTL i GMER

 

Platforma to Windows 7 Professional 32-bit.

 

pozdrawiam.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Prócz infekcji, notowalne uszkodzenia odnośników do folderów powłoki sygnalizowane tymi wpisami:
 

O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT ()
O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM.LOG2 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\AppData [2009-07-14 06:36:39 | 000,000,000 | --SD | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Contacts [2012-11-06 12:01:45 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Desktop [2013-04-14 14:12:47 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Documents [2013-04-14 14:05:37 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Downloads [2013-04-14 14:05:37 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG1 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG2 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{74a4ebfb-f4e7-11df-aef6-806e6f6e6963}.TM.blf ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{74a4ebfb-f4e7-11df-aef6-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{74a4ebfb-f4e7-11df-aef6-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.0.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.1.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.2.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TM.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8e-2e43-11e2-a8d3-e4d53de2da83}.TxR.0.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8e-2e43-11e2-a8d3-e4d53de2da83}.TxR.1.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8e-2e43-11e2-a8d3-e4d53de2da83}.TxR.2.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8e-2e43-11e2-a8d3-e4d53de2da83}.TxR.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8f-2e43-11e2-a8d3-e4d53de2da83}.TM.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8f-2e43-11e2-a8d3-e4d53de2da83}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{ea696b8f-2e43-11e2-a8d3-e4d53de2da83}.TMContainer00000000000000000002.regtrans-ms ()

 
To oznacza, że raport z OTL nie jest wiarygodny i dopóki ta usterka nie zostanie naprawiona, nie mogę zweryfikować np. folderu Autostart (nie jest aktualnie czytany).
 
 
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [NitfEZXYwtjYCu5] C:\Users\Administrator\AppData\Local\build.exe (Hilgraeve, Inc.)DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\PBADRV.sys -- (PBADRV)

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Ponadto dodatkowy na foldery powłoki. Uruchom SystemLook i do skanu wklej:
 

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 
Klik w Look.
 
 
.

[noordinary]

Witam,

 

Dziękuję za odpowiedź. Wykonałem polecenie zgodnie z instrukcją i załączam logi.

OTL.Txt

SystemLook.txt

[picasso]

Wg skanu SystemLook masz całkowicie zniszczoną zawartość tego klucza:
 

========== reg ==========

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
(No values found)

 
Zwróć też uwagę, że OTL uruchomiony jest z bardzo niewłaściwego miejsca, to nie jest ścieżka Twojego konta, to "Pulpit" innego konta systemowego:
 
C:\Windows\System32\config\systemprofile\Desktop\OTL.exe
 
1. Otwórz Notatnik i wklej w nim:
 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead"
"AppData"="C:\\Users\\Administrator\\AppData\\Roaming"
"Local AppData"="C:\\Users\\Administrator\\AppData\\Local"
"My Video"="C:\\Users\\Administrator\\Videos"
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"My Pictures"="C:\\Users\\Administrator\\Pictures"
"Desktop"="C:\\Users\\Administrator\\Desktop"
"History"="C:\\Users\\Administrator\\AppData\\Local\\Microsoft\\Windows\\History"
"NetHood"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts"
"{56784854-C6CB-462B-8169-88E350ACB882}"="C:\\Users\\Administrator\\Contacts"
"Cookies"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"
"Favorites"="C:\\Users\\Administrator\\Favorites"
"SendTo"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\SendTo"
"Start Menu"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
"My Music"="C:\\Users\\Administrator\\Music"
"Programs"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs"
"Recent"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Recent"
"CD Burning"="C:\\Users\\Administrator\\AppData\\Local\\Microsoft\\Windows\\Burn\\Burn"
"PrintHood"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts"
"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\Administrator\\Searches"
"{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\Administrator\\Downloads"
"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\Administrator\\AppData\\LocalLow"
"Startup"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Personal"="C:\\Users\\Administrator\\Documents"
"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\Administrator\\Links"
"Cache"="C:\\Users\\Administrator\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\Administrator\\Saved Games"
"Fonts"="C:\\Windows\\Fonts"

 
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.
 
2. Zresetuj system. Zmieni się środowisko i będą inne (poprawne) ścieżki, czyli i inna zawartość Pulpitu. Zrób nowy log OTL z opcji Skanuj.
 
 
.

[noordinary]

Witam,

 

Teraz trochę zamieszam - wcześniejsze logi zamieściłem wchodząc przez tryb awaryjny z dostępem do sieci i faktycznie logowany byłem jako inny użytkownik (widoczny był inny nieznany pulpit).

 

Dzisiaj udało mi się uruchomić komputer i komunikat Ukash - policja jak na razie się nie pojawił. Korzystając z tej okazji wykonałem ponownie logi OTL i GMER. Nie wykonałem instrukcji które podałaś w poscie powyżej - daj znać jeśli są one nadal mimo wszystko niezbędne.

OTL.Txt

[picasso]

Teraz trochę zamieszam - wcześniejsze logi zamieściłem wchodząc przez tryb awaryjny z dostępem do sieci i faktycznie logowany byłem jako inny użytkownik (widoczny był inny nieznany pulpit).

 

Dzisiaj udało mi się uruchomić komputer i komunikat Ukash - policja jak na razie się nie pojawił. (...) Nie wykonałem instrukcji które podałaś w poscie powyżej - daj znać jeśli są one nadal mimo wszystko niezbędne.

 

UKASH się nie pojawił, bo go usuwałam pierwszym skryptem OTL (wpis build.exe = zadanie wykonało się tylko częściowo, ale dostatecznie). Tryb Windows nie miał tu nic do rzeczy. Nie, cały czas byłeś zalogowany jako ten sam użytkownik, czyli Administrator. Wszystkie logi to poświadczają poprzez nagłówek:

 

Computer Name: KOMENDANT | User Name: Administrator | Logged in as Administrator.

 

Widziałeś inny Pulpit, bo to właśnie był wynik usterki ścieżek powłoki danego konta. Nie wiem jakim cudem to się skorygowało bez importu FIX.REG, ale teraz log nie pokazuje już tych wad, a konto zalogowane niezmiennie to samo, czyli Administrator.

 

Pomijając powyższe, tylko drobna korekta została:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-4238899893-4279414314-1482056572-500..\Run: [NitfEZXYwtjYCu5] C:\Users\Administrator\AppData\Local\build.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Reg Error: Value error.)
O20 - Winlogon\Notify\spba: DllName - (C:\Program Files\Common Files\SPBA\homefus2.dll) - File not found
[2013-04-03 20:02:20 | 000,192,911 | ---- | M] () -- C:\Users\Administrator\AppData\Local\47603a32-4e6a-436e-bd36-8ff2d3012181

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nowy skan zbędny. Log krótki = wklej wprost w poście.

 

 

 

.

[noordinary]

Skrypt wykonałem, oto log po nim:

 

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4238899893-4279414314-1482056572-500\Software\Microsoft\Windows\CurrentVersion\Run\\NitfEZXYwtjYCu5 deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\spba\ deleted successfully.
C:\Users\Administrator\AppData\Local\47603a32-4e6a-436e-bd36-8ff2d3012181 moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 04182013_213117

 

pozdrawiam.

[picasso]

Zakończ temat:
 
1. W OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu posiadasz wersje:

Internet Explorer (Version = 9.10.9200.16521)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Opera 12.14.1738" = Opera 12.14

.

[noordinary]

Witam,

 

dziękuję serdecznie za pomoc

 

pozdrawiam