Ukash powrócił

[kaga]

Witam. Kilka dni temu miałam problem z Ukashem. Dzięki pomocy defacto19 problem został rozwiązany. Jednak dziś wirus powrócił. Zamieszczam logi i serdecznie proszę o pomoc. Korzystając z okazji, jak mogę się uchronić przed powrotami tego świństwa? Na drugim komputerze nie mam z nim problemów, a wykorzystuję sprzęt w ten sam sposób. Także antywirus jest ten sam

[defacto19]

Korzystając z okazji, jak mogę się uchronić przed powrotami tego świństwa?

najlepszym zabezpieczeniem przed oprogramowaniem typu ransomware, jest bieżąca aktualizacja systemu, oraz używanych programów antywirusowych. I oczywiście twój zdrowy rozsądek.

Zastosuj Adwcleaner -> http://general-changelog-team.fr/en/tools/15-adwcleaner z opcji Delete.
Pokaż raport z niego ( C:\AdwCleaner[S1].txt )

Uruchom OTL i w sekcji (Własne opcje skanowania/Skrypt) wklej:

:OTL
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O4 - HKLM..\Run: [alqdkbyeomrapqu] C:\ProgramData\alqdkbye.exe File not found
O4 - HKLM..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found
O4 - HKLM..\Run: [PSDrvCheck] C:\Windows\system32\PSDrvCheck.exe File not found
O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [alqdkbyeomrapqu] C:\ProgramData\alqdkbye.exe File not found
O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background File not found
O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [Prec] C:\Program Files\Prec\PrecStarter.exe File not found
O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [zkebuvqvnhgwykk] C:\ProgramData\zkebuvqv.exe ()
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Pobierz plik wideo we Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm File not found
O8 - Extra context menu item: Pobierz w Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm File not found
O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm File not found
O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm File not found
O33 - MountPoints2\{0eec881c-74cb-11e0-a2e4-b7153395c1cb}\Shell - "" = AutoRun
O33 - MountPoints2\{0eec881c-74cb-11e0-a2e4-b7153395c1cb}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{1a3b352f-52e7-11e1-a873-a5a5bfcb63e2}\Shell - "" = AutoRun
O33 - MountPoints2\{1a3b352f-52e7-11e1-a873-a5a5bfcb63e2}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{1a3b3542-52e7-11e1-a873-a752decd1d84}\Shell - "" = AutoRun
O33 - MountPoints2\{1a3b3542-52e7-11e1-a873-a752decd1d84}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{1d604198-9be8-11e0-852b-958309e08e28}\Shell - "" = AutoRun
O33 - MountPoints2\{1d604198-9be8-11e0-852b-958309e08e28}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{1f0c6386-74db-11e0-ab01-ca4735965eae}\Shell - "" = AutoRun
O33 - MountPoints2\{1f0c6386-74db-11e0-ab01-ca4735965eae}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{1f0c6387-74db-11e0-ab01-ca4735965eae}\Shell - "" = AutoRun
O33 - MountPoints2\{1f0c6387-74db-11e0-ab01-ca4735965eae}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{29ab70fb-f33b-11e0-8bac-aeb19ca0ca1e}\Shell - "" = AutoRun
O33 - MountPoints2\{29ab70fb-f33b-11e0-8bac-aeb19ca0ca1e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{3327d105-fc2a-11dd-bc04-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{3327d105-fc2a-11dd-bc04-001e37b3c37a}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{348e9683-a6c1-11de-b532-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{348e9683-a6c1-11de-b532-001e37b3c37a}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{348e96a9-a6c1-11de-b532-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{348e96a9-a6c1-11de-b532-001e37b3c37a}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{49db1b15-ae1a-11e1-b3f2-a8af3589eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{49db1b15-ae1a-11e1-b3f2-a8af3589eb51}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{4c7f7eb5-73fb-11e0-88e3-9ce9dee4f31a}\Shell - "" = AutoRun
O33 - MountPoints2\{4c7f7eb5-73fb-11e0-88e3-9ce9dee4f31a}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{4c7f7edf-73fb-11e0-88e3-e18550e6cff9}\Shell - "" = AutoRun
O33 - MountPoints2\{4c7f7edf-73fb-11e0-88e3-e18550e6cff9}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{6a11b407-a0e3-11e0-87c0-c5722d7018ad}\Shell - "" = AutoRun
O33 - MountPoints2\{6a11b407-a0e3-11e0-87c0-c5722d7018ad}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{6a11b417-a0e3-11e0-87c0-9a31930b1c6d}\Shell - "" = AutoRun
O33 - MountPoints2\{6a11b417-a0e3-11e0-87c0-9a31930b1c6d}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{6d2be500-c49d-11de-92f3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6d2be500-c49d-11de-92f3-806e6f6e6963}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{8d395ea4-29d5-11df-a89f-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{8d395ea4-29d5-11df-a89f-001e37b3c37a}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{942d97b5-ac0f-11de-9287-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{942d97b5-ac0f-11de-9287-001e37b3c37a}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{9f903d8b-6928-11dd-b0fe-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{9f903d8b-6928-11dd-b0fe-001e37b3c37a}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{aec1a3a5-efa7-11de-905c-001e37b3c37a}\Shell - "" = AutoRun
O33 - MountPoints2\{aec1a3a5-efa7-11de-905c-001e37b3c37a}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{c5489049-4058-11e1-9e7b-c9ddfe2eb29c}\Shell - "" = AutoRun
O33 - MountPoints2\{c5489049-4058-11e1-9e7b-c9ddfe2eb29c}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{c5489063-4058-11e1-9e7b-858fb3206e41}\Shell - "" = AutoRun
O33 - MountPoints2\{c5489063-4058-11e1-9e7b-858fb3206e41}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{d1e4c461-a1ac-11e0-84b8-ea3c42d02441}\Shell - "" = AutoRun
O33 - MountPoints2\{d1e4c461-a1ac-11e0-84b8-ea3c42d02441}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{d1e4c473-a1ac-11e0-84b8-cd4e44515bb2}\Shell - "" = AutoRun
O33 - MountPoints2\{d1e4c473-a1ac-11e0-84b8-cd4e44515bb2}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{edf2b89d-a2fc-11e0-aaeb-e56390e737fe}\Shell - "" = AutoRun
O33 - MountPoints2\{edf2b89d-a2fc-11e0-aaeb-e56390e737fe}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{eff3245f-815f-11e0-b1a8-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{eff3245f-815f-11e0-b1a8-806e6f6e6963}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{eff32487-815f-11e0-b1a8-c7e2f726caaf}\Shell - "" = AutoRun
O33 - MountPoints2\{eff32487-815f-11e0-b1a8-c7e2f726caaf}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{f128b00b-daf4-11e1-96b1-fdd70ed57423}\Shell\AutoRun\command - "" = RunClubSanDisk.exe
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe

:Files
C:\ProgramData\kzktikcbnanflcf
C:\ProgramData\ldgmtzambpsmmxn
C:\ProgramData\zkebuvqv.exe
C:\Users\Kaga\ms.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. ( System zostanie odblokowany) Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

[kaga]

Coś poszło nie tak. Przy pierwszej próbie wpisania skryptu OTL się zawiesił, więc wymusiłam restart. Po ponownym uruchomieniu (oczywiście nadal w trybie awaryjnym) na pulpicie pojawiło się mnóstwo półprzezroczystych ikonek, a na pendrivie stworzył się folder wyglądający jak wyizolowany wirus (usunęłam go od razu). Przy drugiej próbie znowu się zwiesił, więc nie mam raportu. Zrobiłam nowy skan. Załączam raport z usuwania Adwcleanerem i nowy log.

[defacto19]

Z raportu OTL.Txt wynika, że skrypt wykonał się prawidłowo, i nie widać już śladów infekcji.

Uruchom OTL i użyj opcji sprzątanie.

Zainstaluj aktualizacje do programow wskazanych przez Security Check -> http://screen317.spywareinfoforum.org/
jako out of date.

Autor postu otrzymał pochwałę

[kaga]

Po sprzątaniu ikonki zniknęły i wszystko działa. Serdecznie dziękuję za okazaną pomoc