Wirus Ucash - analiza logu z OTLPE


(C S) #1

Witam,

wczoraj zlapalem wirusa ktory blokuje mi strone z komunikatem policji. Juz od paru dni mialem pare razy rosyjskie banery reklamowe na 'normalnych' polskich stronach, ale nic nie zrobilem w tym kierunku. Mam win XP pro sp3 , nod32 5.x (ale pol roku nie aktualizowany..) + sygate firewall. Obstawiam stara wersje Javy ze wpuscila wirusa.

Zaden tryb awaryjny(nawet z wierszem polecen) nie dziala. Cale szczescie po przeczytaniu tego forum dowiedzialem sie o specjalnej bootowanej wersji OTLPE. System wstal i uruchomilem full scana OTLPE na standarowych opcjach skanowania. Otrzymalej 1 log (OTL.txt). Prosze o jego analize. (btw nawet na bootowanej wersji OTLPE z wbudowanymi przegladarkami netowymi wyskakuja mi rosyjskie banery...)

http://www.wklejto.pl/158880


(Atis) #2

Wklej i kliknij Run Fix:

Później pokaż logi z OTL:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741


(C S) #3

Witam. Wielkie dzięki Atis !!

(po zostawianiu skryptu powyżej):

http://wklejto.pl/158911

*****UPDATE POSTA:

wklejam log po przeskanowaniu OTL po uzyciu skryptu. Tym razem normalnie z poziomu windowsa:

OTL.txt:

http://wklejto.pl/158914

*****KONIEC UPDATE’A

mimo to miałem dalej non stop pojawiające się banery rosyjskie w przeglądarce od OTLPE ale po włączeniu normalnie compa wszystko już jest ok. NOD32 mam już w najnowszej wersji więc sadzę że jestem jako tako zabezpieczony na przyszłość.

Ten plik build.exe który usunąłem, to mi sygate firewall wyświetlił tuż przed zablokowaniem przez ‘policje’ że to trojan, ale jakoś nie dał rady go powstrzymać…

Zauważyłem, że na laptopie też mi się pojawił pierwszy rosyjski baner na zwykłej polskiej stronie, więc czuję że niedługo Ucash go zaatakuje do końca, na laptopie z vista 64bit mam tylko windows essentials, który zresztą dopiero dzisiaj zainstalowałem.

logi z OTL z laptopa:

OTL.txt:

http://www.wklejto.pl/158913

extras.txt

http://www.wklejto.pl/158912

Proszę o pomoc w analizie bo jestem pewien na 99% że coś się '‘święci’… z góry dziękuje


(Atis) #4

Usuń Panda pomocą UNINSTALLER.EXE:

http://www.pandasecurity.com/homeusers/ … d?id=55509

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

Na laptopie nie widać infekcji.

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Odinstaluj:

Java 6 Update 13 (64-bit)

Java 6 Update 17

Java 7 Update 7

Adobe Reader 9.2

Adobe Flash Player 10 ActiveX

Zainstaluj:

Java 7 Update 21

Adobe Reader

Flash Player Internet Explorer

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png


(C S) #5

Skrypt uruchomiony. Malwarebytes Anti-Malware nic nie wykrywa. Jeszcze raz dzięki Atis. Pozdrawiam