Podejrzenie infekcji UKASH

gmark23 · 30 Lipiec 2012 21:06

Witam

Dzisiaj podczas uruchamiania komputera moim oczom ukazała się plansza “że komputer zablokowany itd, trzeba wpłacić kasę za odblokowanie kodem UKASH”.

Co ciekawe wyłączyłem komputer i włączyłem go po kilku godzinach i włączył się normalnie tzn. profil załadował się bez problemu, net działa itd. ale gryzie mnie to dlaczego wcześniej ujrzałem tą plansze od UKASH’a.

Poniżej logi z OTL proszę o sprawdzenie

OTL: http://wklej.org/hash/a50bd7d1543/

EXTRAS: http://wklej.org/id/800853/

Dodam tylko że jak uruchamiałem komputer po tych kilku godzinach to Avast wykrył zagrożenie Win32:Dropper-gen [Drp]

Czy to znaczy że wirus został usunięty ??

Acorus · 31 Lipiec 2012 07:56

Odinstaluj Babylon toolbar,Facemoods Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4 IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=10&q={searchTerms} IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll (DeviceVM Inc.) IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627 IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RN&apn_dtid=YYYYYYYYPL&apn_uid=F4878BDF-B144-4107-A8E6-31DA61B5DBF4&apn_sauid=320ED38C-F710-49FC-8711-6E66E75A1889 IE - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=10&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.search.selectedEngine: “SweetIM Search” FF - prefs.js…browser.startup.homepage: “http://home.sweetim.com/?crg=3.1010000&st=10” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.13.1.100008 FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js…extensions.enabledItems: ffxtlbr@Facemoods.com:1.4.0 FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=WBG&o=15132&locale=en_US&apn_uid=F4878BDF-B144-4107-A8E6-31DA61B5DBF4&apn_ptnrs=RN&apn_sauid=320ED38C-F710-49FC-8711-6E66E75A1889&apn_dtid=YYYYYYYYPL&&q=” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “Ask.com” FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “Ask.com” [2011-01-10 22:00:17 | 000,000,000 | —D | M] (Babylon) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\cx16wfmy.default\extensions\ffxtlbr@babylon.com [2011-08-18 13:58:26 | 000,000,000 | —D | M] (Facemoods) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\cx16wfmy.default\extensions\ffxtlbr@Facemoods.com [2012-01-12 11:45:29 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\cx16wfmy.default\extensions\toolbar@ask.com [2011-12-03 19:10:48 | 000,002,572 | ---- | M] () – C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cx16wfmy.default\searchplugins\askcom.xml [2012-06-21 18:27:31 | 000,003,948 | ---- | M] () – C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cx16wfmy.default\searchplugins\sweetim.xml O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.10\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll (facemoods.com) O3 - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM…\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe (facemoods.com) O4 - HKU\S-1-5-21-1989196846-2860988818-2776793229-1000…\Run: [EA Core] “C:\Program Files\Electronic Arts\EADM\Core.exe” -silent File not found [2012-07-28 21:30:33 | 000,000,000 | —D | C] – C:\Users\Admin\AppData\Roaming\hellomoto :Commands [emptytemp]

Kliknij Wykonaj skrypt.

Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt po użyciu AdwCleanera.