Infekcja ukash

[floyd5]

Infekcja wyjątkowo oporna AVG bezradne, Malwarebytes też o Windows Defneder nawet nie ma co wspominać. Ponieważ od dawna miałem zrobić format, to po złapaniu infekcji zrobiłem backup na dysk zewnętrzny, utworzyłem pendriva instalacyjnego i jadę. Na czas instalacji dysk zewnętrzny został odłączony. Podczas instalacji zrobiony format wszystkich partycji komputera, a od razu po wgraniu firefoxa infekcja była aktywna. Z wyjątkiem pendriva świeży system nie miał żadnego kontaktu z nośnikami, z którymi miał stary - ktoś ma jakąś teorię jak syf to przetrwał?

Wiem, że zasady wstawiania logów są trochę inne, ale z każdej podstrony forum przekierowuje mnie na stronę z wezwaniem do zapłaty, więc ciężko mi dodać załącznik.

OTL http://www.wklej.org/id/1430205/
Extras http://www.wklej.org/id/1430206/
Log z Gmera będzie za parę minut.

[NieWiem]

Odpuść Gmera.

Pobierz Rogue Killer - wersja 64-bit.
Uruchom jako administrator (z prawokliku)
Poczekaj aż skończy się prescan, wciśnij szukaj.
Jak skończy, kliknij podsumowanie. Raport przeklej w spoilerze.

[floyd5]

Spoiler:

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] od Adlice Software
mail : http://www.adlice.com/contact/
Dodaj opinię : http://forum.adlice.com
Strona internetowa : http://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

System Operacyjny : Windows 8 (6.2.9200 ) 64 bits version
Uruchomiono z : Tryb normalny
Użytkownik : Radosław [Uprawnienia Administratora]
Tryb : Skanuj -- Data : 08/01/2014 10:41:33

¤¤¤ Szkodliwe procesy : 1 ¤¤¤
[Proc.Hidden] -- [x] -> ZAKOŃCZONO [TermThr]

¤¤¤ Wpisy w Rejestrze : 10 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kxdiauoc -> ZNALEZIONO
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kxdiauoc -> ZNALEZIONO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 5.175.225.136 8.8.8.8 -> ZNALEZIONO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 5.175.225.136 8.8.8.8 -> ZNALEZIONO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D30BD826-3E2F-4821-B711-F2BA06FA7847} | DhcpNameServer : 5.175.225.136 8.8.8.8 -> ZNALEZIONO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D30BD826-3E2F-4821-B711-F2BA06FA7847} | DhcpNameServer : 5.175.225.136 8.8.8.8 -> ZNALEZIONO
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> ZNALEZIONO
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> ZNALEZIONO
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> ZNALEZIONO
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> ZNALEZIONO

¤¤¤ Zaplanowane zadania : 0 ¤¤¤

¤¤¤ Pliki : 0 ¤¤¤

¤¤¤ Plik HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 28 (Driver: ZAŁADOWANY) ¤¤¤
[EAT:Addr] (explorer.exe) pcacli.dll - CMCheckColors : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1da8
[EAT:Addr] (explorer.exe) pcacli.dll - CMCheckColorsInGamut : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1a7c
[EAT:Addr] (explorer.exe) pcacli.dll - CMCheckRGBs : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1f54
[EAT:Addr] (explorer.exe) pcacli.dll - CMConvertColorNameToIndex : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f2410
[EAT:Addr] (explorer.exe) pcacli.dll - CMConvertIndexToColorName : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f2510
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateDeviceLinkProfile : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1ad0
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateMultiProfileTransform : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1964
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateProfile : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1a7c
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateProfileW : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1a98
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateTransform : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f17dc
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateTransformExt : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f17dc
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateTransformExtW : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1668
[EAT:Addr] (explorer.exe) pcacli.dll - CMCreateTransformW : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f17dc
[EAT:Addr] (explorer.exe) pcacli.dll - CMDeleteTransform : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f19cc
[EAT:Addr] (explorer.exe) pcacli.dll - CMGetInfo : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f14b4
[EAT:Addr] (explorer.exe) pcacli.dll - CMGetNamedProfileInfo : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f2610
[EAT:Addr] (explorer.exe) pcacli.dll - CMIsProfileValid : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1bec
[EAT:Addr] (explorer.exe) pcacli.dll - CMTranslateColors : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1c14
[EAT:Addr] (explorer.exe) pcacli.dll - CMTranslateRGB : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1a7c
[EAT:Addr] (explorer.exe) pcacli.dll - CMTranslateRGBs : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1a7c
[EAT:Addr] (explorer.exe) pcacli.dll - CMTranslateRGBsExt : C:\Windows\SYSTEM32\icm32.dll @ 0x7fdd39f1e04
[EAT:Addr] (explorer.exe) datusage.dll - AmdQueryPowerXpressDeviceInfo : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9ec49c0
[EAT:Addr] (explorer.exe) datusage.dll - AmdQueryPowerXpressDeviceInfoEx : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9ec4950
[EAT:Addr] (explorer.exe) datusage.dll - DllMain : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9e61000
[EAT:Addr] (explorer.exe) datusage.dll - GetKtProcAddress : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9ec1830
[EAT:Addr] (explorer.exe) datusage.dll - OpenAdapter : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9e9e210
[EAT:Addr] (explorer.exe) datusage.dll - OpenAdapter10 : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9e61080
[EAT:Addr] (explorer.exe) datusage.dll - OpenAdapter10_2 : C:\Windows\SYSTEM32\aticfx64.dll @ 0x7fdd9e610c0

¤¤¤ przeglądarki internetowe : 0 ¤¤¤

¤¤¤ Sprawdzenie MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEVT-22A23T0 +++++
--- User ---
[MBR] 3f86edc97730e75dd014a9c6757160cb
[BSP] 59739e04c843b867ce2d819ea28f618e : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 71330 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 146802688 | Size: 233563 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WD My Book 1140 USB Device +++++
--- User ---
[MBR] 315d07d03ddb8fc6ef90d150edbac8cf
[BSP] 717dd44c70d9301a3f6f6f49130ee44d : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1766526 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] ??danie nie jest obs?ugiwane. )

+++++ PhysicalDrive2: USB Flash Memory USB Device +++++
--- User ---
[MBR] e2916a3c96c8feaf36cbcfe1928eb96f
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 2048 | Size: 14882 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] ??danie nie jest obs?ugiwane. )

[NieWiem]

OK.
Pobierz na pulpit FRST:
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/
Nie uruchamiaj.

Reboot do trybu awaryjnego i wybierz opcję Tryb awaryjny z wierszem poleceń.
W wierszu poleceń wpisz explorer.exe. Powinieneś zobaczyć pulpit.
Stamtąd uruchom FRST i przeklej raporty FRST i Addition.

[floyd5]

Zrobione

Dodano Dzisiaj, 18:32:
Teraz już naprawdę jestem zaskoczony - postawiłem sobie Ubuntu żeby chociaż normalnie zajrzeć do internetu i dzisiaj na Ubuntu przekierowało mnie na tę fejkową stronę. Jak to w ogóle możliwe?