Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ukash - komputer zaatakowany

wodnym 09 Wrz 2012 10:06 2058 13
  • #1 09 Wrz 2012 10:06
    wodnym
    Poziom 9  

    Witam. Po 2 dniach nieobecności na kompie dzisiaj w końcu udało mi się do niego dorwać. Spotkała mnie niemiła niespodzianka. Po jakimś czasie wyskoczyło powiadomienie o zablokowaniu komputera. To wina ustrojstwa o nazwie UKASH. Pojawiło się ostrzeżenie i można niby zapłacić za odblokowanie komputera.

    W załączniku są logi z OTL.

    Proszę o pomoc.

    0 13
  • #4 09 Wrz 2012 11:55
    env002
    Poziom 16  

    Proszę nie patrzeć na stronę CERT i nie odznaczać programów ze startu Windows, to utrudnia wykrycie infekcji.

    Zajmiemy się ukashem, adwcleaner wyczyści adware z przeglądarek a potem w razie potrzeby doczyścimy to co zostanie.

    Odpowiedź dla wodnym
    Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej:

    Cytat:
    :OTL
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=db11137d-db0f-11e0-be9f-00e04c0200d5&q={searchTerms}
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=db11137d-db0f-11e0-be9f-00e04c0200d5&q={searchTerms}
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{1656BC8E-C9F3-4f46-B5E1-A487BD65484B}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{1D15A20A-3495-48F4-88FC-48B3D3B07B33}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=663e4e3600000000000050e549343ea2
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{38CDE9AD-D571-466c-9255-653703669172}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV
    IE - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10011&st=1&barid={E029C5FD-BC6B-441E-86CC-5FE06BDF805A}&q={searchTerms}&barid={E029C
    5FD-BC6B-441E-86CC-5FE06BDF805A}
    O3 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
    O3 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
    O3 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O4 - HKU\S-1-5-21-1343241972-208368272-3518853847-1000..\Run: [guvvbufyigrfbju] C:\ProgramData\guvvbufy.exe (Cybernet Manufacturing)
    O4 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001..\Run: [] File not found
    O4 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001..\Run: [MultiScreen] File not found
    O4 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001..\Run: [NCsoft] File not found
    F3:64bit: - HKU\S-1-5-21-1343241972-208368272-3518853847-1001 WinNT: Load - (C:\Users\PAWE~1\AppData\Local\Temp\{53422~1.EXE) - File not found
    F3 - HKU\S-1-5-21-1343241972-208368272-3518853847-1001 WinNT: Load - (C:\Users\PAWE~1\AppData\Local\Temp\{53422~1.EXE) - File not found
    [2012-09-09 09:35:07 | 000,000,000 | ---D | C] -- C:\ProgramData\bhpnjlxyihkomff
    [2012-09-09 09:35:05 | 000,162,816 | ---- | C] (Cybernet Manufacturing) -- C:\ProgramData\guvvbufy.exe
    [2012-09-09 09:35:06 | 000,078,042 | ---- | M] () -- C:\ProgramData\arlggyvlwojpxat

    :Files
    C:\ProgramData\guvvbufy.exe
    C:\ProgramData\bhpnjlxyihkomff
    C:\ProgramData\arlggyvlwojpxat

    :Commands
    [emptytemp]

    Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

    Użyj AdwCleaner (opcja Delete).
    Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.

    ============================================================
    ============================================================
    ============================================================
    ============================================================
    ============================================================
    Odpowiedź dla glassrod

    Wejdź do Panelu sterowania i odinstaluj StartNow Toolbar jeżeli jest. W razie problemów z deinstalacją, kontynuuj dalej.

    Uwaga: w skrypcie poniżej jest linijka, która rozpoczyna się od "FF - prefs.js..extensions.enabledAddons: ffxtlbr(malpa)babylon.com". Zmień (malpa) na znak małpy.

    Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej:
    Cytat:
    :OTL
    IE - HKU\S-1-5-21-233592998-3091548718-1356596905-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=113480&tt=31...HP_ss&mntrId=10b9058c00000000000074ea3a9258ec
    IE - HKU\S-1-5-21-233592998-3091548718-1356596905-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111003&user_guid=378C3B595A854014A26101A96341AE05&machine_id=496508dbbd1603b09662637083450ff2&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source}
    IE - HKU\S-1-5-21-233592998-3091548718-1356596905-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3112_4&babsrc=SP_ss&mntrId=10b9058c00000000000074ea3a9258ec
    IE - HKU\S-1-5-21-233592998-3091548718-1356596905-1000\..\SearchScopes\{6FF5233F-C9F3-414E-8286-FA3AF91220F0}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..extensions.enabledAddons: ffxtlbr(malpa)babylon.com:1.5.0
    [2012-07-30 13:46:15 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    CHR - homepage: http://search.babylon.com/?affID=113480&tt=31...HP_ss&mntrId=10b9058c00000000000074ea3a9258ec
    O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll ()
    O4 - HKU\S-1-5-21-233592998-3091548718-1356596905-1000..\Run: [rlrymjnynhqivvs] C:\ProgramData\rlrymjny.exe (Cybernet Manufacturing)
    [2012-09-09 09:13:52 | 000,000,000 | ---D | C] -- C:\ProgramData\kgpyyolsnczhirr
    [2012-09-09 09:13:51 | 000,162,816 | ---- | C] (Cybernet Manufacturing) -- C:\ProgramData\rlrymjny.exe
    [2012-09-09 09:13:14 | 000,162,816 | ---- | C] (Cybernet Manufacturing) -- C:\Users\TYNAA\0.6253019124149494.exe
    [2012-09-09 09:13:52 | 000,078,030 | ---- | M] () -- C:\ProgramData\poprdrnhzpasxef
    [2012-07-30 13:45:59 | 000,000,000 | ---D | M] -- C:\Users\TYNAA\AppData\Roaming\Babylon
    @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

    :Files
    C:\ProgramData\kgpyyolsnczhirr
    C:\ProgramData\rlrymjny.exe
    C:\Users\TYNAA\0.6253019124149494.exe
    C:\ProgramData\poprdrnhzpasxef

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

    :Commands
    [emptytemp]

    Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

    Użyj AdwCleaner (opcja Delete).
    Po wszystkim pokazujesz nowy log Skanuj, raport z usuwania OTL i raport z AdwCleaner.

    0
  • #5 10 Wrz 2012 10:30
    wodnym
    Poziom 9  

    OK. Wszystko zrobiłem. :)

    Po zrobieniu skanów i usuwaniu uruchomiłem przeglądarkę Firefox i pojawiła mi się taka stronka:
    http://vid-saver.com/thankyou.html :|

    Ostatnio ComboFix usunął ten program. Dziwne. :|

    W załączniku są wszystkie raporty. Załączyłem też wczorajszy raport z Combofix. :)

    0
  • #7 10 Wrz 2012 15:22
    wodnym
    Poziom 9  

    Nie, nie ma problemów. :)

    Znowu pojawiła się ta strona po uruchomieniu Firefoxa po restarcie:
    http://vid-saver.com/thankyou.html :|

    Ogólnie to ostatnio mam masę problemów z kompem. Brat siedzi na komputerze i miesza. Mimo upomnień wchodzi na masę podejrzanych stron, rejestruje jakieś darmowe gry i nie tylko. W tamtym tygodniu dysk twardy ciągle pracował. Zrobiłem skan i usunąłem trojany za pomocą SUPERAntiSpyware. Problem zniknął. Wczoraj jak dorwałem się do komputera to nagle pojawił się ten cały UKASH. :|

    W załączniku log z OTL. :)

    0
  • #8 10 Wrz 2012 16:42
    1898719
    Użytkownik usunął konto  
  • #9 10 Wrz 2012 23:29
    env002
    Poziom 16  

    macianty80, i syf jest dalej w systemie tylko nieaktywny, takie zamiatanie śmieci pod dywan i one są tyle że pod dywanem i ich nie widzisz.

    Do autora tematu
    Czy używasz tego:

    Cytat:
    [2011-09-01 08:55:47 | 000,000,000 | ---D | M] (Old Location Bar) -- C:\Users\MICHAŁ I PAWEŁ\AppData\Roaming\mozilla\Firefox\Profiles\jhqrdmvu.default\extensions\{3205B348-523A-4fac-9BC4-9939CBF583B0}

    Jeżeli nie, to odinstaluj Old Location Bar i dodaj powyższą linijkę do skryptu przed
    Cytat:
    :Commands
    [emptytemp]


    Odinstaluj
    DownloadnSave
    Vid-Saver

    Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)
    Cytat:
    :OTL
    [2012-07-20 17:39:04 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\MICHAŁ I PAWEŁ\AppData\Roaming\mozilla\Firefox\Profiles\jhqrdmvu.default\extensions\5009760d2b12c@5009760d2b165.info
    [2012-09-02 21:44:56 | 000,000,000 | ---D | M] ("Vid-Saver") -- C:\Users\MICHAŁ I PAWEŁ\AppData\Roaming\mozilla\Firefox\Profiles\jhqrdmvu.default\extensions\crossriderapp3491@crossrider.com
    File not found (No name found) -- C:\USERS\MICHAŁ I PAWEŁ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JHQRDMVU.DEFAULT\EXTENSIONS\{3205B348-523A-4FAC-9BC4-9939CBF583B0}
    File not found (No name found) -- C:\USERS\MICHAŁ I PAWEŁ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JHQRDMVU.DEFAULT\EXTENSIONS\5009760D2B12C@5009760D2B165.INFO
    File not found (No name found) -- C:\USERS\MICHAŁ I PAWEŁ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JHQRDMVU.DEFAULT\EXTENSIONS\CROSSRIDERAPP3491@CROSSRIDER.COM
    File not found (No name found) -- C:\USERS\MICHAŁ I PAWEŁ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JHQRDMVU.DEFAULT\EXTENSIONS\IPLEXTOALL@ALLPLAYER.ORG.XPI

    :Commands
    [emptytemp]

    Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

    Finalizacja
    1. Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.

    2. Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.

    3. Deinstalacja ComboFix. Start - w pole wyszukiwania wpisz:
    "C:\Users\MICHAŁ I PAWEŁ\Desktop\ComboFix.exe" /uninstall

    Na przyszłość nie używaj ComboFix bez nadzoru specjalistów.
    http://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/#cf4

    4. Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.

    W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem.

    5. Jako darmowy skaner polecam Malwarebytes Anti-Malware. Podczas instalacji odrzuć propozycję instalacji płatnej wersji, zainstaluj darmowy skaner i skanuj w razie potrzeby. Pamiętaj o aktualizacji bazy.

    6. Co do Twoich problemów z Firefoksem, jeżeli inne rzeczy nie pomogą to spróbuj zresetować profil
    http://www.fixitpc.pl/topic/12281-prawdopodobnie-win32jeefo/page__p__85564#entry85564

    0
  • #11 11 Wrz 2012 11:38
    env002
    Poziom 16  

    Odpowiedź dla glassrod.

    Wykonałeś inny skrypt a nie mój. Jeżeli piszesz na innym forum, zdecyduj się na jedno forum.

    Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynając od dwukropka)

    Cytat:
    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a9m52lrl)
    IE - HKLM\..\SearchScopes\{6FF5233F-C9F3-414E-8286-FA3AF91220F0}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
    IE - HKCU\..\SearchScopes\{6FF5233F-C9F3-414E-8286-FA3AF91220F0}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
    O4 - HKLM..\Run: [HKLM] C:\Windows\system32\install\WIN.exe File not found
    @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

    :Commands
    [emptytemp]

    Kliknij Wykonaj skrypt. Zgódź się na ponowne uruchomienie (restart).

    Finalizacja
    1. Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z jego kwarantanną.

    2. Uruchom AdwCleaner i kliknij Uninstall, aby usunąć AdwCleaner.

    3. Czyszczenie folderów przywracania systemu

    4. Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże.

    W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem. Już teraz widzę kilka nieaktualnych aplikacji. Odinstaluj:
    Java(TM) 6 Update 5
    Java(TM) 6 Update 27
    Java(TM) 7 Update 5
    Adobe Reader X (10.1.0) - Polish

    Zainstaluj
    Java 6 Update 35
    Wchodzisz na stronę:
    http://www.oracle.com/technetwork/java/javase/downloads/jre6u35-downloads-1836473.html
    Zaznaczasz Accept License Agreement
    Pobierz i zainstaluj plik jre-6u35-windows-i586.exe

    Java 7 Update 7
    http://www.oracle.com/technetwork/java/javase/downloads/jre7u7-downloads-1836441.html czyli wchodzisz na podaną stronę, zaznaczasz Accept License Agreement, pobierasz jre-7u7-windows-i586.exe i instalujesz

    Adobe Reader X 10.1.4
    Pobierz i zainstaluj http://ardownload.adobe.com/pub/adobe/reader/win/10.x/10.1.4/en_US/AdbeRdr1014_en_US.exe

    5. Opcjonalnie przeskanuj Malwarebytes Anti-Malware. To bardzo dobry skaner na żądanie. Możesz zainstalować (podczas instalacji odrzuć instalację płatnej wersji) i zaktualizować i przeskanować. To tylko skaner, ale bardzo dobry.

    6. Optymalizacja - mnóstwo rad w mojej wiadomości http://forum.dobreprogramy.pl/oznaczaja-bledy-dzienniku-zdarzen-t494507-15.html#p3118837 Robota na co najmniej jeden wieczór. ;)

    7. Masz zainstalowane Gadu-Gadu.
    Co powiedziałbyś o tym, żeby zmienić komunikator na lżejszy i dający możliwość rozmowy z użytkownikami Gadu-Gadu (uwaga, w alternatywnych komunikatorach nie zawsze działa przesyłanie plików, albo ja jestem zbyt leniwy żeby porządnie to skonfigurować).
    Sam używałem i polecam wśród kolegów WTW:
    WTW.im
    WTW.im 0.9.10.3377 - dobreprogramy.pl
    Darmowe komunikatory internetowe - WTW - fixitpc.pl
    WTW nie zużywa tyle zasobów co Gadu-Gadu. Oto porównanie Gadu-Gadu 10 i WTW jeżeli chodzi o zajętość pamięci, GG zużywa 80 MB, WTW 15 MB pamięci.
    Ukash - komputer zaatakowany

    8. Z tego co widzę posiadasz preinstalowany system (z dodatkami producenta laptopa), proponuję zastanowić się nad Zmiana systemu preinstalowanego na czysty Windows.

    0
  • #12 12 Wrz 2012 09:32
    wodnym
    Poziom 9  

    1. Tak, używam tego Old Location Bar. Źle robię? :)

    2. Po kliknięciu Uninstall w AdwCleaner ikonka tego programu nadal pozostaje na pulpicie. To dobrze?

    3. Nie mogę zaktualizować Adobe Reader 8. Jak klikam by zaktualizowało to pojawia się takie czarne okienko w lewym górnym roku, po chwili znika i dalej się nic nie dzieje.

    4. Będę stosował to Malwarebytes Anti-Malware.

    5. Tutaj raport z Security Check:

    Results of screen317's Security Check version 0.99.50
    Windows 7 Service Pack 1 x64 (UAC is enabled)
    Internet Explorer 9
    ``````````````Antivirus/Firewall Check:``````````````
    Avira Desktop
    Antivirus up to date!
    `````````Anti-malware/Other Utilities Check:`````````
    Malwarebytes Anti-Malware version 1.62.0.1300
    Java 7 Update 7
    Adobe Flash Player 11.4.402.265
    Adobe Reader 8 Adobe Reader out of Date!
    Mozilla Firefox (for.)
    ````````Process Check: objlist.exe by Laurent````````
    Malwarebytes Anti-Malware mbamservice.exe
    Avira Antivir avgnt.exe
    Avira Antivir avguard.exe
    `````````````````System Health check`````````````````
    Total Fragmentation on Drive C:
    ````````````````````End of Log``````````````````````

    0
  • #14 13 Wrz 2012 13:42
    wodnym
    Poziom 9  

    1. To taki dodatek, który sprawia, że pasek adresu w Firefox przypomina ten z dwójki. :)

    2. Zainstalowałem Adobe Reader z linku, który zapodałeś. :)

    3. Mam nadzieję, że teraz wszystko będzie OK. Chociaż niedługo pewnie brat ściągnie na komputer kolejne ustrojstwa, z którymi to ja będę musiał się użerać z pomocą innych.

    4. Dziękuję. Naprawdę. :)

    0