Problem - komputer zarażony wirusem Ukash

rafi84tek · 12 Styczeń 2013 12:02

Witam,

koleżanka ma problem z laptopem. Złapała wirusa “Ukash - Komputer został zablokowany przez policję…”.

Na laptopie ma jedno konto użytkownika (administrator), które od razu po uruchomieniu jest blokowane komunikatem wirusa.

Dało się włączyć system w trybie awaryjnym z obsługą sieci - w tym trybie robiłem skanowanie.

Poniżej zamieszczam logi ze skanowania OTL:

http://www.wklej.eu/index.php?id=20e88a452a

Extras:

http://www.wklej.eu/index.php?id=4376902d5a

Oprócz pomocy w wyczyszczeniu systemu chciałbym prosić o ewentualne podanie możliwej drogi zarażenia. Cały soft na kompie legalny, Windows 7 uaktualniany na bieżąco, zainstalowany AV ESET NOD 32, strony xxx, pirackie itp. nieodwiedzane. Jedynie wpinane pendrivy, praca w lokalnej sieci no i strony internetowe…

Jak ten wirus dotychczas atakował komputery? Znalazłem następujące powody:

http://www.fixitpc.pl/topic/9218-jaki-jest-powodpowody-infekcji-ukash-weelsof-itp/

Kolejna sprawa, to czy ten wirus aktywuje się od razu po pobraniu, czy też czeka na jakiś sygnał z sieci? Czy to znaczy, że np. odwiedzane w dniu pojawienia się komunikatu strony internetowe były zarażone, czy też wirus siedział sobie w systemie i aktywował się po wejściu na daną stronę?

Pozdrawiam,

R.

Acorus · 12 Styczeń 2013 13:06

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

rafi84tek · 12 Styczeń 2013 18:08

Wykonałem powyższe instrukcje.

Raport po restarcie:

http://www.wklej.eu/index.php?id=856f87b297

logi ze skanowania OTL:

http://www.wklej.eu/index.php?id=4d50d14c72

Extras:

http://www.wklej.eu/index.php?id=45a71578d2

R.

Acorus · 12 Styczeń 2013 18:20

Odinstaluj McAfee Security Scan Plus.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKU\S-1-5-21-2542378104-3357962698-1015610581-1003…\SearchScopes{AC0F5697-B8D0-4260-9147-56D55FF6DCB3}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=524FF081-AFB7-478C-9FB6-D3D2B279544F&apn_sauid=C1584E5D-DC1E-4E99-A969-9C7337090D74 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=524FF081-AFB7-478C-9FB6-D3D2B279544F&apn_ptnrs=&apn_sauid=C1584E5D-DC1E-4E99-A969-9C7337090D74&apn_dtid=OSJ000&&q=” [2012-10-18 10:01:10 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Users\Kasia\AppData\Roaming\mozilla\Firefox\Profiles\bxjavhzw.default\extensions\toolbar@ask.com [2012-10-18 10:01:10 | 000,002,299 | ---- | M] () – C:\Users\Kasia\AppData\Roaming\mozilla\firefox\profiles\bxjavhzw.default\searchplugins\askcom.xml :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.

rafi84tek · 12 Styczeń 2013 21:47

Acorus ,

bardzo dziękuję za pomoc.

wszystko wykonane wg Twoich zaleceń.

Dziękuję,

R.