Wirus Ukash


(Mattom22) #1

Witam,

            Przed chwilą przeglądałem internet i ni stąd ni zowąd wyskoczył mi wirus Ukash i pisało, że moja przeglądarka jest zablokowana. Dziwniejsze jest jeszcze to, że mogłem z przegładarki normalnie wyjść. Prawdopodobnie noscript uratował mnie przed całkowitą blokadą. Proszę o sprawdzenie moich logów.

 

FRST: http://www.wklej.org/id/1696325/

 

Addition: http://www.wklej.org/id/1696327/

 

Shortcut: http://www.wklej.org/id/1696328/

 

Za wszelką pomoc, z góry dzięki :slight_smile:

  

P.S. Chyba Chińczycy mnie zaatakowali, bo widzę dużo chińskich znaków w logu. Ehh, mój komp i tak już jest "MADE IN CHINA".


(Acorus) #2

Otwórz notatnik systemowy i wklej:

CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{087B3AE3-E237-4467-B8DB-5A38AB959AC9}\InprocServer32 - No File Path
CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{3B092F0C-7696-40E3-A80F-68D74DA84210}\InprocServer32 - No File Path
CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{63542C48-9552-494A-84F7-73AA6A7C99C1}\InprocServer32 - No File Path
CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{7BC0E710-5703-45BE-A29D-5D46D8B39262}\InprocServer32 - No File Path
CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{AE424E85-F6DF-4910-A6A9-438797986431}\InprocServer32 - No File Path
CustomCLSID: HKU\S-1-5-21-3650503586-622273372-2790528159-1001_Classes\CLSID\{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\InprocServer32 - No File Path
Task: {24EDFEF4-4B60-465F-B4A8-BB55B8E7B18D} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3650503586-622273372-2790528159-1001UA = C:\Users\userPC\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-18] (Facebook Inc.)
Task: {61DCAD5F-F1E6-4DA6-B795-DA98D44D17D6} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3650503586-622273372-2790528159-1001Core = C:\Users\userPC\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-18] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3650503586-622273372-2790528159-1001Core.job = C:\Users\userPC\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3650503586-622273372-2790528159-1001UA.job = C:\Users\userPC\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation)
HKU\S-1-5-21-3650503586-622273372-2790528159-1001\...\Run: [Facebook Update] = C:\Users\userPC\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-10-18] (Facebook Inc.)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-3650503586-622273372-2790528159-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\42.0.2311.90\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\42.0.2311.90\pdf.dll No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\42.0.2311.90\gcswf32.dll No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll No File
CHR Plugin: (Shockwave for Director) - C:\Windows\system32\Adobe\Director\np32dsw.dll No File
CHR Extension: (Bookmark Manager) - C:\Users\userPC\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
2014-09-27 14:04 - 2014-09-27 14:04 - 0000086 _____ () C:\Users\userPC\AppData\Roaming\wklnhst.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.1.4.1018.exe


(Mattom22) #3

Fixlog:  http://www.wklej.org/id/1696419/

 

Zaraz zacznę skan.

 

A co mam zrobić z tymi chińskimi folderami?


(Acorus) #4

Nic.Nie wyglądają na szkodliwe.Chyba że je Malwarebytes usunie.


(Mattom22) #5

Skan skończony, nic nie wykryto.

 

Usunąłem ręcznie te chińskie foldery, bo nigdy ich nie było, a ich nazwa zawierała słowa “epilepsja” i “śmierć” więc zbyt miłe to te foldery nie były…

 

Dzięki za pomoc!

 

EDIT: log z AdwCleaner: http://www.wklej.org/id/1696453/

 

Zaraz włączę opcję czyszczenie. Czy nadal jeszcze coś na moim komputerze siedzi, czy po już tym czyszczeniu będzie wszystko ok?


(Acorus) #6

Skasuj folder C:\FRST


(Mattom22) #7

Dobrze, dzięki za pomoc. Pozdrawiam :slight_smile:


(Acorus) #8

Odinstaluj McAfee Security Scan Plus.Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-3650503586-622273372-2790528159-1001\Software\Classes\.exe: = ===== ATTENTION!
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll No File
CHR Plugin: (Shockwave for Director) - C:\Windows\system32\Adobe\Director\np32dsw.dll No File

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Mattom22) #9

Fixlog: http://www.wklej.org/id/1696563/

 

Martwi mnie tutaj, że trzy ostatnie linijki nie są usunięte.

 

Infekcja ponowiła się około 17:15 (18:15 czasu polskiego) gdyż zauważyłem, że znowu powstał ten chiński folder.

 

Ponowne logi, tak dla wszelkiego wypadku (wymieniłem też fragmenty, które mnie martwią) :

 

FRST: http://www.wklej.org/id/1696571/

 


(Acorus) #10

Tego się nie usuwa.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.1.4.1018.exe

To są puste wpisy.Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl


(Mattom22) #11

Odinstalowałem McAfee Security Scan plus.

Zresetowałem google chrome.

Zrobiłem skan malwarebytes’em= nic nie wykryto.

 

Kolejne logi (mam nadzieje, że już ostatnie) bo boję się, że infekcja wróciła:

 

FRST: http://www.wklej.org/id/1696621/

 

Addition: http://www.wklej.org/id/1696622/

 

Shortcut: http://www.wklej.org/id/1696623/


(Acorus) #12

Jesteś przewrażliwiony.W logach nic nie widać.


(Mattom22) #13

Za 2 dni mam egzaminy na uniwersytecie więc taka sytuacja nie zmniejsza mojego napięcia :frowning:

Dziękuje bardzo za pomoc!

EDIT: To już mnie nie śmieszy…znowu te cholerne chińskie foldery się pojawiają! Jeden został utworzony godzinę temu. Po jaką cholerą ktoś tworzy puste foldery? Chyba mam jakiegoś backdoor’a i ten ktoś ma niezły ubaw, bo ten chiński folder został utworzony po tym jak skończyłem skanować przy pomocy FRST.

Jeśli nie ma tu dla mnie pomocy, nie widzę innego wyjścia niż format.

EDIT 2: Witam i przepraszam za ton mojej ostatnie wypowiedzi.

Co ileś tam godzin (co 3, chyba) w sysWOW64 tworzą się chińskie foldery, o takiej samej nazwie jak w logu nr.1 Coś mi tu nie gra, bo o czasie, kiedy ten folder się tworzy, komputer głośniej chodzi (pracuje ciężej). Na pewno coś tu nie gra, same z siebie nie powinny się tworzyć.

Jeśli nie checie mi pomóc, proszę mi to powiedzieć. Jeśli w logu “nic nie widać”, a jednak coś się dzieje, musi być jakiś inny sposób na sprawdzenie, co jest nie tak. Proszę mi tylko powiedzieć, gdzie mam dalej z tym iść.

Pozdrawiam i mam nadzieje dostać jakąś radę…


(waderr73) #14

Zrestartuj Router. A kompa przeskanuj http://www.dobreprogramy.pl/Kaspersky-Rescue-Disk,Program,Windows,12771.html