UKASH

[krsweb]

Witam

Logi po infekcji UKASH, zrobione w trybie awaryjnym:

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\48531I0
C:\Users\antoni\AppData\Local\48531I0
C:\Users\antoni\AppData\Roaming\skype.dat
C:\Users\antoni\AppData\Roaming\skype.ini
C:\Users\antoni\AppData\Roaming\BabMaint.exe
C:\Users\antoni\AppData\Roaming\jasltw.dat
C:\Users\antoni\AppData\Roaming\mainhst.zgh
C:\Users\antoni\AppData\Roaming\BabSolution
C:\Users\antoni\AppData\Roaming\Babylon
C:\Users\antoni\AppData\Roaming\File Scout
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Services
BrowserProtect
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
IE - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=119816&babsrc=SP_ss_bay2g&mntrId=4EE30016EABB1544
IE - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" File not found
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" File not found
O3 - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.
O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found
O37 - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, gdyż system powinien zostać odblokowany.

 

2. Odinstaluj adware:

- Przez Panel sterowania: BrowserProtect, Delta toolbar, Delta Chrome Toolbar, Qtrax Player, Veoh Web Player Toolbar.

- Google Chrome: w Rozszerzeniach powtórz deinstalację Delta Toolbar, o ile będzie nadal widoczne.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dodatkowo, w GMER jest jakiś podejrzany odczyt:

 

---- Processes - GMER 2.1 ----
 

Process (*** hidden *** ) [4] 853B3910 

 

Sprawdź co widzi Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i tylko log przedstaw. Jeśli nic nie wykryje, raport zbędny.

 

 

 

.

[krsweb]

Po przejściu do normalnego trybu windowsa były problemy ze sterownikami karty graficznej, po odinstalowaniu ich, działa.

 

Kaspersky TDSSKiller z domyślnymi opcjami nic nie znalazł, sprawdzić z  'Loaded modules' i opcjami dodatkowymi ??

OTL.Txt

FRST.txt

Addition.txt

AdwCleanerS1.txt

[picasso]

Jeszcze drobne poprawki:

 

1. Nie ma oznak wykonania resetu Firefox.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {B7A5F019-6E3C-4ECA-B661-57365D843B41} - System32\Tasks\RunAsStdUser Task for VeohWebPlayer => C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe No File
Task: {E50B8399-BDC0-4069-B2E1-4135E680D594} - System32\Tasks\EPUpdater => C:\Users\antoni\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{483830EE-A4CD-4b71-B0A3-3D82E62A6909}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 NVHDA; system32\drivers\nvhda32v.sys [x]

 

Plik zapisz pod nazwą fixlist.txt. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt i go przedstaw.

 

 

Po przejściu do normalnego trybu windowsa były problemy ze sterownikami karty graficznej, po odinstalowaniu ich, działa.

Nie wiem z jakiej przyczyny. Moje operacje nie ruszały tej partii.

 

 

Kaspersky TDSSKiller z domyślnymi opcjami nic nie znalazł,

sprawdzić z 'Loaded modules' i opcjami dodatkowymi ??

Dla świętego spokoju jeszcze sprawdź wersję rozszerzoną, interesują mnie tylko wyniki inne niż z flagą "Unsigned". Być może ten tajemniczy ukryty proces w GMER był relatywny do aktywności instalacji DAEMON Tools.

 

 

 

 

.

[krsweb]

1. Nie ma oznak wykonania resetu Firefox.

 

Pomoc > Informacje dla pomocy technicznej > zresetuj program Firefox ??

wykonałem ponownie.

 

 

Po przejściu do normalnego trybu windowsa były problemy ze sterownikami karty graficznej, po odinstalowaniu ich, działa.

Nie wiem z jakiej przyczyny. Moje operacje nie ruszały tej partii.

 

 

Nie twierdze, że to od tych operacji, po prostu informuje o fakcie.

 

Rozszerzony TDSSKiller znalazł tylko wątki z flagą 'unsigned'.

Fixlog.txt

[picasso]

Akcje wykonane pomyślnie. Kolejna partia zadań:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj SUPERAntiSpyware. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[krsweb]

Porządki zrobione.

 

Raport Malwarebytes Anti-Malware:

MBAM-log-2013-07-12 (11-50-18).txt

[picasso]

MBAM nie wykrył nic szczególnego, tylko instalator zawierający adware (5_VeohWebPlayerSetup_eng.exe). Usuń ten plik. Na zakończenie:

 

1. W Dzienniku zdarzeń masz błąd WMI numer 10:

 

Error: (07/11/2013 07:06:25 PM) (Source: WinMgmt) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

 

Instrukcje naprawy: KB950375. W skrócie: wklej do Notatnika skrypt podany na stronie i zapisz plik pod nazwą FIX.VBS. Plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.

 

2. Zaktualizuj cały system (krytyczny poziom aktualizacji Vista!) i wyliczone poniżej programy: KLIK.

 

Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polish

Internet Explorer Version 7
 

Adobe Flash Player 10 ActiveX (Version: 10.0.12.36)

Adobe Flash Player 11 Plugin (Version: 11.7.700.224)

Adobe Reader 9.1 - Polish (Version: 9.1.0)

Adobe Shockwave Player 11.5 (Version: 11.5.6.606)

Google Chrome (HKCU Version: 27.0.1453.116)

Java™ 6 Update 15 (Version: 6.0.150)

Microsoft Silverlight (Version: 5.1.20125.0)

Mozilla Firefox 14.0.1 (x86 pl) (Version: 14.0.1)

OpenOffice.org 3.1 (Version: 3.1.9399)

Skype™ 5.10 (Version: 5.10.116)

 

.

[krsweb]

Błąd w dzienniku naprawiony.

System oraz poszczególne programy zaktualizowane.

Dziękuję serdecznie za pomoc!