Wirus ukash ponownie

[PiotrU]

Witam. Znów mam problem z wirusem ukash ( tutaj wczesniejszy temat: jak-odblokowac-komputer-i-usunac-wirus-ukash-vt132528.html ). Tym razem jest chyba gorzej bo:
1. nie działa tryb awaryjny w żadnej formie, ani z obslugą sieci ani wierszem poleceń tzn po kliknięciu po jakiś 3- 4 sekundach następuje restart komputera.
2. próbując samemu rozwiazać temat, postapiłem zgodnie z instrukcją z tego artykułu ( http://www.cert.pl/news/5707 ), wykonałem płytę ratunkową z antywirusem Kaspersky Rescue Disk 10 i postapiłem według zaleceń. Efekt jest taki, że komputer włącza się normalnie, ale przy próbie połączenia z internetem pojawia sie komunikat UKASH i komp jest zablokowany. Tryb awaryjny nadal nie działa.
3. Próbowalem wykonać logi OTL oraz DDS. Oba programy nie działają poprawnie. Przy probie właczenia i skanowania w OTL pojawia mi się komunikat ( zdjecia w załączniku ) po czym nie działa żadna z opcji. DDS natomiast nie dziala wogóle tj po kliknięciu w ikonę program wogóle sie nie uruchamia i nie ma żadnych komunikatów. Zrobiłem więc logi w RSIT oraz AdwCleaner - oba w załączniku. Nie wiem już co robić, więc proszę ponownie o pomoc...

Oczywiście dostep do netu jest z pożyczonego laptopa.

[ordynat]

Do Notatnika wklej:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cabccdfsacfsfdsf"=-
""=-



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Ściągnij -->Avenger.
wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
D:\Documents and Settings\All Users\Dane aplikacji\cabccdfsacfsfdsf.exe
D:\Documents and Settings\All Users\Dane aplikacji\F804.exe


Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z D:\avenger.txt.

Spróbuj teraz zrobić logi z OTL.

.

[PiotrU]

Zrobione. W załączniku raport z Avengera. Nadal OTL nie działa poprawnie i pojawia się ten sam komunikat, którego zdjecie wrzucilem w pierwszym poście. Natomiast zaczął działać DDS i jeżeli to coś pomoże, zalączam oba pliki ze skanowania.

[ordynat]

Aj, gapa ze mnie - nie zwróciłem uwagi na rodzaj erroru wyskakującego przy OTL: to nowa wersja OTL jest wadliwa.
Na razie zrób logi ze starej wersji >http://www.mediafire.com/download.php?5sso9fkwga98ovv, albo http://www.mediafire.com/download.php?lt90qaro6recszw, albo http://www.mediafire.com/?lnvivludl2hj62i
Ale przedtem powtórz usuwanie, zarówno Fix.Reg, jak i Avenger, bo w logu DDS widać dalej to samo, pomimo usuwania.

.

[PiotrU]

To ja jeszcze dopytam w sprawie tego FIX.REG bo zastanawiam się czy zrobiłem to dobrze?
Mam otworzyć notatnik, wkleić tam tekst:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cabccdfsacfsfdsf"=-
""=-

Ustawić rozszerzenie na Wszystkie pliki i zapisać jako FIX.REG a po zapisaniu dwukrotnie na niego kliknąć, tak?

[ordynat]

Tak
ten fix.reg daję dlatego, że Avenger nie reaguje na klucze HKEY_CURRENT_USER

[PiotrU]

Zrobione. Stara wersja OTL działa:) W załączniku logi. Był natomiast jakiś error w Avengerze.

[ordynat]

Avenger nie znalazł tych plików - czyżbyś logi DDS robił przed poprzednim użyciem Avengera?

zaraz przejrzę logi z OTL ...

[PiotrU]

Nie. Najpierw zrobiłem FIX.REG, potem Avenger, później OLT, a gdy nie działał dopiero DDS. Później zgodnie z Twoimi zaleceniami powtórzyłem wszystko tzn FIX.REg, Avenger i stara wersja OTL. Taka byla kolejość.

Czy mógł tutaj namieszać mój antywirus ( Avira ) bo coś pokazywał gdy działalem w Avengerze, ale nie zrobiłem screena tylko kliknąłem na restart...

[ordynat]

Ale w logach OTL wcale już nie widzę tej infekcji, więc w jakiś sposób musiałeś ją usunąć przed drugim uruchomieniem Avengera.
Ale to już nieważne, ważne, że infekcji już nie ma.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Scutum50.sys -- (Scutum50)
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3473b918-421b-11e1-a9b7-000ee8e30408&q={searchTerms}
IE - HKU\S-1-5-21-1202660629-1284227242-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3512_4&babsrc=SP_ss&mntrId=b89a5a91000000000000000ee8e30408
IE - HKU\S-1-5-21-1202660629-1284227242-682003330-1003\..\SearchScopes\{6A1806CD-94D4-4689: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3473b918-421b-11e1-a9b7-000ee8e30408&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112555&tt=3512_4&babsrc=KW_ss&mntrId=b89a5a91000000000000000ee8e30408&q="
[2012-08-30 01:01:53 | 000,002,349 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-1202660629-1284227242-682003330-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab (Reg Error: Key error.)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

.EDIT:
Avira mogła tylko przeszkadzać w działaniu Avengera - należało ją wyłączyć na czas działania Avengera.

EDIT2:
Adw Cleaner użyj z opcji DELETE.
Pokaż raport z niego C:\AdwCleaner[S1].txt

[PiotrU]

Zrobione. Czy to już wszystko, czy jeszcze gdzieś siedzi ta zaraza ukash?

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3473b918-421b-11e1-a9b7-000ee8e30408&q={searchTerms}
IE - HKU\S-1-5-21-1202660629-1284227242-682003330-1003\..\SearchScopes\{6A1806CD-94D4-4689: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3473b918-421b-11e1-a9b7-000ee8e30408&q={searchTerms}

Kliknij w Wykonaj Skrypt. Tym razem restartu raczej nie będzie.
Wg mnie jest już OK, więc kończymy:
W Adw-Cleaner kliknij na przycisk Uninstall
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie Avenger.
Użyty Fix.Reg usuń ręcznie.
.

Autor postu otrzymał pochwałę

[PiotrU]

Zrobiłem wszystko jak napisałeś. Czy są potrzebne jeszcze jakieś logi, żeby się upewnić, że wszystko ok? Drugie pytanie - jak zabezpieczyć komputer, żeby nie mieć takich niespodzianek?

[wojtas]

powinno byc ok aktualizuj wszystkie programy, flasha jave itp

[PiotrU]

Ok. Zatem dziękuję bardzo za pomoc:)