Wirus UKASH, blokada policyjna

[aier27]

Pierwsze chciałbym się przywitać, jako że jest to mój pierwszy post, więc dzień dobry

 

Dostałem ostatnio laptop od kuzyna z winem xp, który po dosłownie 1 minucie się blokował i wyskakiwało powiadomienie o złamaniu prawa i konieczności zapłacenia 500zł, żeby odblokować. Oczywiście nic nie można zrobić, jedynie wyłączyć laptop.

I właśnie w momencie wyłączania laptopa (po naciśnięciu na guzik zasilania) laptop odzyskuje sprawność (musi być tylko włączona aplikacja, która powstrzymuje wyłączenie windowsa, np. notatnik, z niezapisanym tekstem). Wtedy też przeprowadziłem skany systemu i logi przedstawiam niżej. Próby przeprowadzenia różnych czyszczących, sprawdzających rejestr (ccleaner) niewiele pomogły. System tak samo zawiesza się również w trybie awaryjnym. 

 

Z góry dziękuję za pomoc.

 

 

OTL.Txt

FRST.txt

Addition.txt

Extras.Txt

GMER.txt

[muzyk75]

HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\NbrCLiBd\xtqqeeyo.exe

To jest crack aktywacji Windows, system nie jest orginalny.

 

HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: D - D:\setupSNK.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {13d27d98-63db-11e1-bf47-001a73ae4b01} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-7-8-46-4257740867-8547071284-227317622-6721\ynjBNQlN.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {41d29baa-26b8-11e3-8048-001a73ae4b01} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-0-6-62-1205103830-1076225053-361133240-1517\DwVpOxJM.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {5136b8ef-f1f0-11dd-b5ce-001a73ae4b01} - pook.com
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {7d90cf2d-ac41-11de-b796-001a73ae4b01} - F:\m9ma.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {899376fa-52ab-11e3-805d-001a73ae4b01} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\S-2-4-10-1886805623-4401758574-752238163-2365\vDMTctxL.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {8a54db9e-3d50-11e2-bfe0-001a73ae4b01} - H:\iStudio.exe
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {9a37a206-f164-11dd-b5cb-001a73ae4b01} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com j:
HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\MountPoints2: {ca7787d6-05b1-11de-b607-001a73ae4b01} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL KapEF.exe

Masz infekcję na pendrive. Wykonaj napodpiętym pendrive skan USBFix z opcji Listing. Załącz log do posta.

 

Panel sterowania-->Programy i funkcje - odinstaluj: Ask Toolbar, ToggleEN Toolbar, Winamp Toolbar

 

Otwórz notatnik i wklej:

HKU\S-1-5-21-1644491937-2147091713-839522115-1004\...\Run: [ctfmon.exe] - C:\DOCUME~1\ALLUSE~1\DANEAP~1\rundll32.exe c:\docume~1\alluse~1\daneap~1\lwigto.dat,FG00 <===== ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?l=dis&o=APN10260&gct=hp&apn_ptnrs=^AGR&apn_dtid=^YYYYYY^YY^PL&p2=^AGR^YYYYYY^YY^PL&tpid=ARS3&apn_dbr=ff_20.0&apn_uid=E0C4FB24-43BA-4CD7-ABEB-E96A0F0934A0&itbv=11.8.1.222&doi=2013-04-06
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKCU - SearchHook Class - {D8278076-BC68-4484-9233-6E7F1628B56C} - C:\Program Files\AskPartnerNetwork\Toolbar\searchhook.dll (APN LLC.)
URLSearchHook: HKCU - ToggleEN Toolbar - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTog0.dll (Conduit Ltd.)
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://asksearch.ask.com/redirect?client=ie&src=crm&tb=ARS3&itbv=11.8.1.222&o=APN10260&locale=en_US&apn_uid=E0C4FB24-43BA-4CD7-ABEB-E96A0F0934A0&apn_ptnrs=^AGR&apn_dtid=^YYYYYY^YY^PL&apn_dbr=ff_20.0&doi=2013-04-06&q={searchTerms}&
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://asksearch.ask.com/redirect?client=ie&src=crm&tb=ARS3&itbv=11.8.1.222&o=APN10260&locale=en_US&apn_uid=E0C4FB24-43BA-4CD7-ABEB-E96A0F0934A0&apn_ptnrs=^AGR&apn_dtid=^YYYYYY^YY^PL&apn_dbr=ff_20.0&doi=2013-04-06&q={searchTerms}&
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250
BHO: ToggleEN Toolbar - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTog0.dll (Conduit Ltd.)
BHO: Ask Toolbar - {41525333-0076-A76A-76A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\ARS3\Passport.dll (APN LLC.)
Toolbar: HKLM - ToggleEN Toolbar - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTog0.dll (Conduit Ltd.)
Toolbar: HKLM - Ask Toolbar - {41525333-0076-A76A-76A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\ARS3\Passport.dll (APN LLC.)
Toolbar: HKCU - Winamp Toolbar - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC)
Toolbar: HKCU - ToggleEN Toolbar - {038CB5C7-48EA-4AF9-94E0-A1646542E62B} - C:\Program Files\ToggleEN\prxtbTog0.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - Ask Toolbar - {41525333-0076-A76A-76A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\ARS3\Passport.dll (APN LLC.)
FF SearchPlugin: C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1ltcdqd0.default\searchplugins\conduit.xml
S1 sfvpxojw; \??\C:\WINDOWS\system32\drivers\sfvpxojw.sys [X]
C:\Documents and Settings\xxx\Dane aplikacji\PriceGong
C:\Documents and Settings\xxx\duedue.exe
CMD: netsh winsock reset
CMD: netsh firewall reset

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera.

 

Pobierz RogueKiller by Tigzy: http://www.fixitpc.p...ych/#entry95936 . Po uruchomieniu kliknij "skanuj" , po zakończeniu skanu "usuń" -->następnie "Napraw Hosts"

 

Pobierz ADW-Cleaner: "Dział pomocy doraźnej"-->http://www.fixitpc.p...zi-usuwających/ . Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz: TFC Temp File Cleaner by Oldtimer: http://www.fixitpc.p...lizujące-temat/ Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

Reset komputera.

 

Jest jeszcze problem z uszkodzonym WMI:

ATTENTION: If processes are not listed WMI should be repaired.

 

Załącz powstały fixlog i nowe logi z FRST, Addition, UsbFIX

[aier27]

Dzięki za szybką odpowiedź

Na początku chciałbym powiedzieć, że nie dam rady przedstawić zawartości pendrive, ponieważ po naciśnięciu opcji Listing w programie USBFix wyskakuje błąd: "AutoIt Error. Line 2082 (File "C:\UsbFix\Go.exe"). Error: Variable must be of type >>Object<<".

 

Po usunięciu wtyczek (zakładam, że to są właśnie te toolbary) i zastosowaniu się do Twoich instrukcji, wszystko działa już jak powinno. Dziękuję bardzo za pomoc

 

Niżej załączam logi z FRST, Addition i fixlog.

Fixlog.txt

FRST.txt

Addition.txt

[muzyk75]

Nie można uzyskać informacji o hoście z komputera:

 

Odnajdź usługę Zdalne wywoływanie procedur (RCP). Sprawdź czy jest uruchomiona, jeśli nie to spróbuj ją uruchomić i wykonaj jeszcze raz polecenie.

 

Utłuczenie robactwa na pendrive. Podepnij pendrive.

Pobierz Malwarebytes Anti-Malware w zakładce ustawienia-->ustawienia skanera zaznacz PUP , PUM -->pokazuj i zaznacz przy usuwaniu. Klik pełne skanowanie i w następnym oknie zaznacz literę dysku pendrive. Załącz log.

 

Zaktualizuj system:

Microsoft Windows XP Dodatek Service Pack 2 (X86) OS Language: Polish
Internet Explorer Version 6

Pobierz Service Pack 3 i zaktualizuj Internet Explorer do wersji 8. Zainstaluj jakiegoś antyvira.

 

 

 

[picasso]

muzyk75

 

Zrobiłeś powierzchowne czyszczenie. Ominąłeś zasadniczą część, czyli infekcję blokującą system (wpisy Winmgmt, Userinit i Startup, liczne pliki w "Dane aplikacji"). I pomyliłeś wpisy:

 

HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\NbrCLiBd\xtqqeeyo.exe

 

To jest crack aktywacji Windows, system nie jest orginalny.

Wpis Userinit to nie jest crack aktywacji tylko część blokady "policyjnej". Crackiem aktywacji jest wpis Winlogon:

 

Winlogon\Notify\Antiwpa: C:\WINDOWS\system32\antiwpa.dll ()

 

Masz infekcję na pendrive.

Spekulujesz. To jest tylko historyczne mapowanie, nie wiadomo kiedy powstało i od jakiego urządzenia. Jedyne co jest pewne, to że na partycji D leży nieszkodliwy kreator sieci bezprzewodowej, gdyż OTL wykrył pliki jako istniejące:

 

O32 - AutoRun File - [2012-12-25 13:55:49 | 000,000,089 | ---- | M] () - D:\AUTORUN.INF -- [ NTFS ]

O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setupSNK.exe -- [2004-08-04 00:44:30 | 000,028,672 | ---- | M] (Microsoft Corporation)

 

Zastanawia mnie też użycie "netsh winsock reset", bo jeśli chciałeś usunąć wpis Bonjour, to komenda nic w tym zakresie nie zrobi (obszar NameSpace w ogóle nie jest resetowany tym poleceniem).

 

 

 

aier27

 

Na temat ostatniego posta muzyk75: opuść wszystkie te instrukcje. Zawartość pendrive bez trudu można pobrać innymi metodami (załączę to w skrypcie FRST), skan MBAM będzie wykonywany potem, nie próbuj też teraz instalować aktualizacji Windows, to się robi na szarym końcu po kompletnym wyczyszczeniu systemu, które jest gdzieś w połowie dopiero. Tu definitywnie nie jest koniec działań: czynna infekcja blokująca system, uszkodzone WMI (związane z infekcją), źle wyczyszczone szczątki starej infekcji z USB w systemie (nie tylko mapowanie MountPoints), nadal adware w systemie. W kwestii WMI, to w pierwszym zestawie logów była jawna modyfikacja infekcji:

 

S4 winmgmt; C:\Documents and Settings\All Users\Dane aplikacji\lwigto.dat [131072 2013-04-02] ()

 

Ten wpis nie jest już widoczny w najnowszych raportach FRST, a nadal są widzialne skutki uszkodzenia tej usługi. Na pewno wpis infekcji nie był korygowany skryptem do FRST (pominięty), więc prawdopodobnie RogueKiller mógł to naprawiać, tylko z braku jego logów nie wiadomo jak daleko posunęła się naprawa. Poza tym: usługa Winmgmt była w stanie "Wyłączono", a to może oznaczać, że ją "naprawiano" pozostawiając ten Typ uruchomienia.

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\xtqqeeyo.exe (Avira GmbH)
Startup: C:\Documents and Settings\xxx\Menu Start\Programy\Autostart\xtqqeeyo.exe ()
HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\NbrCLiBd\xtqqeeyo.exe
Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
U1 eabfiltr;
BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
Toolbar: HKLM - My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
Toolbar: HKCU - My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)
FF Plugin: @macromedia.com/FlashPlayer10 - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll (My Global Search)
C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe
C:\Documents and Settings\All Users\Dane aplikacji\otgiwl.js
C:\Documents and Settings\All Users\Dane aplikacji\otgiwl.pad
C:\Documents and Settings\All Users\Dane aplikacji\lwigto.dat
C:\Documents and Settings\xxx\*.lnk
C:\Documents and Settings\xxx\autorun.inf
C:\Documents and Settings\xxx\zoazu.scr
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Folder: F:\

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Kolene czyszczenie z adware:

- Przez Dodaj/Usuń programy odinstaluj My Global Search Bar.

- Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasłanie zostaną naruszone.

 

3. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt oraz zaległe logi innych narzędzi, to zawsze musi być sprawdzone (są możliwe fałszywe alarmy, błędne naprawy etc.):

- AdwCleaner: dostarcz logi z katalogu C:\AdwCleaner.

- RogueKiller: dostarcz logi z katalogu RK_Quarantine, który leży na Pulpicie.

 

 

 

.