Atak ukash

zet_tychy · 15 Październik 2012 18:09

Witam

W dniu wczorajszym nastąpił atak ukash, dostałem komunikat, że jestem winny policji 200 zł. i komputer zablokowany.

W godzinach wieczornych mogłem wejść na komputer i po wykonaniu skanu na avaście wyszedł groźny wirus na pliku c:\Users\Daria\AppData\Lokcal\Mikrosoft\Windows\Temporary\InternetFiles\Low\Content.IE5\BH13HJMB\0(1)htm

W dniu dzisiejszym wykonałem usunięcie w trybie awaryjnym z wierszem polecenia zgodnie ze stroną CERT Polska jednakże nic to nie dało, następnie jeszcze raz dokonałem skanu na awaście i usunełem powyższy wirus. Proszę o sprawdzenie czy UKASH jeszcze funkcjonuje na moim komputerze

OLT http://wklej.to/J5eCL

Z góry dziękuje

– Dodane 15.10.2012 (Pn) 20:19 –

OTL http://www.wklej.org/id/847972/ w lepszej jakości

Acorus · 15 Październik 2012 18:40

Odinstaluj Akamai NetSession Interface.Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

:OTL O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKCU…\Run: [Akamai NetSession Interface] C:\Users\Daria\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKCU…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job [2012-06-08 18:31:35 | 000,000,000 | —D | M] – C:\Users\Daria\AppData\Roaming\OpenCandy :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

zet_tychy · 15 Październik 2012 21:28

AdwCleaner nie mogę zainstalować. Po pobraniu i włączeniu instalacji komputer nie odpowiada na nic. Próbowałem też z innych stron ale reakcja jest taka sama

Acorus · 16 Październik 2012 07:53

Wykonaj resztę.

zet_tychy · 16 Październik 2012 11:28

w nocy zrobiłem skrypt i skan bez pobierania programu AdwCleaner

http://wklej.org/id/848380/

Acorus · 16 Październik 2012 13:56

Miałeś odinstalować Akamai.Odinstaluj Akamai NetSession Interface,Browser Manager.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-10-11 13:17:59 | 002,312,216 | ---- | M] () – C:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe MOD - [2012-10-11 13:17:06 | 002,069,528 | ---- | M] () – c:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll SRV - [2012-10-11 13:17:59 | 002,312,216 | ---- | M] () [Auto | Unknown] – C:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe – (Browser Manager) IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.27010003&st=12 IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 3&st=12&q={searchTerms} IE - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\SearchScopes{FAA33D64-E4B3-427F-8D96-60087D445F60}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=A6DBB713-9343-4ACF-8F40-D98F9B126DCA&apn_sauid=E4935A51-4EC0-417D-96CB-2C377DE0128E O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [Akamai NetSession Interface] C:\Users\Daria\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKU\S-1-5-21-1277842938-381110581-1717168214-1000…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found O20 - AppInit_DLLs: (c:\progra~2\browse~1\23796~1.11{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll () [2012-10-15 20:41:10 | 000,000,000 | —D | C] – C:\ProgramData\Browser Manager [2012-10-15 20:41:04 | 000,000,000 | —D | C] – C:\Program Files\BabylonToolbar [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

zet_tychy · 16 Październik 2012 18:11

programy odinstalowane, raportu brak a wynik ponownego skanowania przedstawia się następująco

OTL http://wklej.org/id/848724/

Acorus · 17 Październik 2012 07:52

Wykonaj w trybie awaryjnym. Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) [2012-10-14 12:34:11 | 000,044,544 | ---- | C] (Microsoft Corporation) – C:\ProgramData\lsass.exe [2012-10-14 14:49:36 | 083,023,306 | ---- | M] () – C:\ProgramData\arepo.pad [2012-10-10 17:50:01 | 000,000,478 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Daria.job :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

zet_tychy · 17 Październik 2012 08:59

teraz sytuacja przedstawia się następująco

raport http://www.wklej.org/id/849032/

nowy log http://www.wklej.org/id/849037/

Acorus · 17 Październik 2012 13:03

Pokaż log z usuwania.

zet_tychy · 17 Październik 2012 13:07

innych żeczy nie mam z ostatniego OTL

zauważyłem jeszcze w C:programData następujące pliki arepo.pad i lsass.exe które wcześniej nie były widoczne

Acorus · 17 Październik 2012 13:26

Coś źle robisz.Dajesz komendę Wykonaj skrypt czy Skanuj.Powtórz usuwanie-musi być raport z usuwania.

zet_tychy · 17 Październik 2012 13:31

po wlejeniu:OTL… daję wykonaj skrypt po zresetowaniu komputera daje skanuj z zaznaczeniem infekcja lop-sprawdzanie i infekcja purity-sprawdzanie.Przy skanowaniu nie wklejam :OTL…

OTL wklejam tylko te co mi podajesz nie całe

Acorus · 17 Październik 2012 17:24

Wklejasz od :OTL do [emptytemp]-Wykonaj skrypt.Po resecie masz log z usuwania.Uruchamiasz OTL i Skanuj - masz nowy log

zet_tychy · 18 Październik 2012 07:05

dosłownie tak to wklejałem, w trybie normalnym i awaryjnym,nie wychodzi log z usuwania

Acorus · 18 Październik 2012 07:56

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

zet_tychy · 19 Październik 2012 09:52

Chyba się udało

http://wklej.org/id/850450/

http://wklej.org/id/850451/

C:programData plik arepo.pad istnieje, brak lsass.exe

Dodam jeszcze od siebie, że to diabelstwo miało informacje takie same jak na stronach policji ale już podparte artykułami kk, a szata graficzna została bardzo zmodyfikowana. Dysponuje zdjęciem i jak bym wiedział gdzie, to mogę je przesłać

Dziękuje za pomoc i laicki spokuj do mojej osoby. Komputer działa

– Dodane 19.10.2012 (Pt) 13:01 –

OTL http://wklej.org/id/850478/

Acorus · 19 Październik 2012 13:47

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

zet_tychy · 20 Październik 2012 11:07

AdwCleaner http://wklej.org/id/851045/

OTL raport http://wklej.org/id/851048/

Chciałem zrobić jeszcze skanowanie w OTL ale w chwili obecnej już jest to nie możliwe, plik z programem zniknął.

Dziękuje jeszcze raz za pomoc należy się Panu(i) duża kawa z jeszcze większą pianką

Teraz zrobię jeszcze przywracanie systemu

po przywóceniu systemu nie znalazłem na pliku C:programData\erepo.pad