Znów problem z Ukash

[krzychu0852]

Komputer został zablokowany z powowdu naruszenia prawa polskiego- ukash

Pomóżcie Prosze

logi:

http://wklej.org/id/1015449/

http://wklej.org/id/1015451/

 

[picasso]

Logi zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: USER-4B44B7D37B | User Name: Administrator | Logged in as Administrator.

 

Zaloguj się na konto użytkownika i zrób nowe raporty.

 

 

 

.

[krzychu0852]

Nie mogę wejść na konto użytkownika , ponieważ komputer po naciśnieciu na konto uzytkownika automatycznie sie resetuje

[picasso]

Logi z konta Administrator są bezużyteczne (nie pokazują tej infekcji, widać inną ale działającą na wszystkich kontach). Na konto pewnie da się wejść. Wykonaj:

- Przenieść OTL ze ścieżki konta do ścieżki neutralnej: czyli C:\Documents and Settings\Administrator.USER-4B44B7D37B.000\Moje dokumenty\Pobieranie\OTL.exe do C:\OTL.exe

- Zastartuj do Trybu awaryjnego z obsługą Wiersza polecenia. Loguj się na konto zainfekowane.

- W linii komend C:\OTL.exe i ENTER, w celu wytworzenia raportów.

 

 

 

.

[krzychu0852]

wyskoczył mi jeden log:

http://wklej.org/id/1016087/

[picasso]

Wyskoczył tylko jeden, gdyż nie doczytałeś instrukcji tworzenia raportu OTL, zwróć uwagę na to co jest na różowym tle: KLIK. Ponadto, stworzyłeś dziwoląga, czyli plik o podwójnym rozszerzeniu, należy skorygować nazwę ręcznie:

 

PRC - [2012-08-14 14:06:02 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\OTL.exe.exe

Przechodząc do usuwania obu infekcji ("policyjna" + keylogger z jakiejś trefnej paczki do gry):
 
1. Z poziomu konta Administrator zapisz sobie za pomocą Notatnika wprost na dysku C plik o zawartości:
 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Files
C:\Documents and Settings\User\Dane aplikacji\skype.dat
C:\Documents and Settings\User\Dane aplikacji\skype.ini
C:\Documents and Settings\User\Dane aplikacji\logs.dat
C:\WINDOWS\system32\install
C:\Documents and Settings\User\Dane aplikacji\chrtmp
C:\Documents and Settings\User\Dane aplikacji\SQLite3.dll
C:\WINDOWS\System32\msfffff2b7.dll
C:\WINDOWS\System32\mssusr.dat
C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak
C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak
C:\Program Files\Mozilla Firefox\updated\extensions\KavAntiBanner@kaspersky.ru_bak
C:\Program Files\Mozilla Firefox\updated\extensions\linkfilter@kaspersky.ru_bak
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml

:OTL
IE - HKLM\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http://klit.startnow.com/s/?q=%7BsearchTerms%7D&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120402&user_guid=3487C6869AE642819056931E37F7BA9A&machine_id=59dbfb38b9cdb451d9d460c63f2074fa&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc=%7Breferrer:source%7D
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q=%7BsearchTerms%7D&affID=119535&babsrc=SP_def&mntrId=50bb29070000000000000011679baf88
IE - HKCU\..\SearchScopes\{2D9640CC-21AA-4787-8CB9-7377C4328F5C}: "URL" = http://www.google.com/search?q=%7BsearchTerms%7D&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\..\SearchScopes\{3E5F81CD-1211-4D1D-AE15-931E37604A3C}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q=%7BsearchTerms%7D&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=9C53C527-9412-43D3-B9A0-131ED4234D1F&apn_sauid=521C979C-7E34-404F-9F93-8C7B09233977
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = http://home.speedbit.com/search.aspx?aff=106&q=%7BsearchTerms%7D
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid=%7B1390D919-A181-49FF-9757-42B90090DC61%7D&mid=3c7871f0eecf47d5a80cd158217f467b-517b3e284f2855af871839b524c4245624f93b60&lang=pl&ds=AVG&pr=pr&d=2012-09-15 15:48:19&v=12.2.5.34&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{A8076ECF-C52C-4E78-AA98-134956F234DD}: "URL" = http://searchya.com/?chnl=tst-216&s=1&cr=1072145574&cd=2XzutAtN2Y1L1QzutDtDtByEtC0DtCyD0E0C0FyD0BtBzytDyBtN0D0TzutBtDtCtBtDyEtDtB&q=%7BsearchTerms%7D
IE - HKCU\..\SearchScopes\{ABDE6A40-4438-4b80-9069-23E4BC91248A}: "URL" = http://www.ask.com/web?&o=13795&l=dis&q=%7BsearchTerms%7D
IE - HKCU\..\SearchScopes\{D2B6E84B-AC46-4F11-BF13-D8A5F4432060}: "URL" = http://search.avg.com/route/?d=477ab7df&v=7.5.30.4&i=23&tp=chrome&q=%7BsearchTerms%7D&lng=%7Blanguage%7D&iy=&ychte=us
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\searchpredict@speedbit.com: C:\Program Files\SearchPredict\PRFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\linkfilter@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4fb32b2f42976@4fb32b2f429af.info: C:\Documents and Settings\matusz\Dane aplikacji\Mozilla\Firefox\Profiles\e1ug3k7e.default\extensions\4fb32b2f42976@4fb32b2f429af.info [2012-05-16 15:21:39 | 000,000,000 | ---D | M]
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\oxser.sys -- (oxser)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (IvtComBusSrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [2011/01/07 16:49:52] [Kernel | Auto | Stopped] -- C:\Program Files\CyberLink\PowerDVD9\000.fcl -- ({B154377D-700F-42cc-9474-23858FBDF4BD})

:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

2. Wejdź w Tryb awaryjny z wierszem polecenia, zaloguj się na zainfekowane konto. W linii komend wpisz polecenie notepad i ENTER. To otworzy Notatnik, w nim otwórz plik przygotowany w punkcie 1. Następnie wklep komendę C:\OTL.exe. Uruchomi się OTL, w sekcji Własne opcje skanowania / skrypt wklej zawartość z Notatnika i klik w  Wykonaj skrypt. Zatwierdź restart systemu.
 
3. Komputer zostanie odblokowany, logujesz się więc normalnie. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
 
4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Robisz nowy log OTL na dostosowanym warunku, tzn. sekcję Rejestr - skan dodatkowy ustaw na Użyj filtrowania (by powstał log Extras) + w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj (a nie Wykonaj skrypt!).

hklm\Software\Microsoft\Active Setup\Installed Components|explorer.exe /RS

Dołącz też log utworzony przez AdwCleaner.
 
 
.

[krzychu0852]

Log extras: 

http://wklej.org/id/1016300/

Log OTL.txt

http://wklej.org/id/1016302/

Log AdwCleaner[s5] (chodzi o ten log?)

http://wklej.org/id/1016305/

[picasso]

Zadania pomyślnie wykonane. Wymagane tylko drobne poprawki:
 
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"virtualKeyboard@kaspersky.ru"=-
"KavAntiBanner@Kaspersky.ru"=-
"linkfilter@kaspersky.ru"=-
"4fb32b2f42976@4fb32b2f429af.info"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

Klik w Wykonaj skrypt.

2. Nowy skan OTL już niepotrzebny. Do oceny podaj tylko log z wynikami usuwania OTL. A że log krótki, wklej go wprost w poście.

 

 

.

[krzychu0852]

Za bardzo nie rozumiem jak mam wykonac log z wynikami usuwania OTL, wykonałem nie potrzebnie w OTL >sprzatanie i nie wiem jak wykonac ten log z usuwania OTL

[picasso]

Niestety użyłeś Sprzątanie, które usuwa z dysku OTL i jego logi z usuwania... Nie zadawałam tej operacji na tym etapie, zbyt się pośpieszyłeś. W związku z tym pokaż mi nowy skan OTL, ale na warunkach ograniczonych: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.


.

[krzychu0852]

Zrobiłem tak , czekam na dalsze instrukcje http://wklej.org/id/1017252/

[picasso]

Poprzednie zadanie wykonane, przejdź do tej części:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[krzychu0852]

Coś wykryto :

http://wklej.org/id/1022488/

[picasso]

1. Usuń wszystko co wykrył program. Po tym ponów czyszczenie folderów Przywracania systemu.

 

2. Był to trojan łowiący dane, toteż pozmieniaj hasła w serwisach (poczta / gry online / serwisy społecznościowe etc).

 

3. Zaktualizuj wtyczki Adobe, Java i Google Chrome: KLIK. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216034FF}" = Java™ 6 Update 35

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Adobe Shockwave Player" = Adobe Shockwave Player 12.0
 

========== HKEY_CURRENT_USER Uninstall List ==========
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 25.0.1364.172
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1200112.dll (Adobe Systems, Inc.)

 

 

 

.

[krzychu0852]

Wykonano.