PUM.UserWLoad i Trojan.Ransom problem z usunięciem. POMOCY!!

Post30 mar 2013, 12:06

Jak w temacie mam problem z usunięciem.

mbam scan:
Dostępne tylko dla zarejestrowanych użytkowników

otl scan:
Dostępne tylko dla zarejestrowanych użytkowników

Bardzo proszę o pomoc krok po kroku, z góry dziękuję.

Post30 mar 2013, 17:44

Nie wykonano akcji.

Usuń to, co znalazł.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=119816&babsrc=SP_ss&mntrId=70FF902B346F82AC
FF - prefs.js..browser.search.selectedEngine: "Delta Search"
FF - prefs.js..browser.startup.homepage: "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=70FF902B346F82AC"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
[2013-03-30 08:18:39 | 000,001,294 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\k9obvcna.default\searchplugins\delta.xml
[2013-03-30 08:18:27 | 000,006,468 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: No name found = C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\8.0.1483_0\
O4 - HKLM..\RunOnce: [downloadnetpl] File not found
F3:64bit: - HKCU WinNT: Load - (C:\Users\PAWE~1\LOCALS~1\Temp\msruoi.cmd) - C:\Users\PAWE~1\LOCALS~1\Temp\msruoi.cmd (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników)
F3 - HKCU WinNT: Load - (C:\Users\PAWE~1\LOCALS~1\Temp\msruoi.cmd) - C:\Users\PAWE~1\LOCALS~1\Temp\msruoi.cmd (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
[2013-03-30 08:18:48 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserProtect
[2013-03-30 08:18:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2013-03-30 08:18:17 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Roaming\Babylon
[2013-03-30 07:56:14 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Roaming\SpeedyPC Software
[2013-03-30 07:56:14 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Roaming\DriverCure
[2013-03-30 07:55:56 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
[2013-03-29 13:36:04 | 000,000,000 | ---D | C] -- C:\Users\Paweł\Doctor Web
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\yfdwkjlv.exe
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\tichgqlgl.exe
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\sflmhuz.exe
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\oiegaytl.exe
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\lcglluoamc.exe
[2013-03-29 13:21:57 | 000,151,040 | ---- | C] (The UPX Team Dostępne tylko dla zarejestrowanych użytkowników) -- C:\Users\Paweł\diupihjfyg.exe
[2013-02-28 13:00:54 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2013-03-29 10:06:42 | 000,099,021 | ---- | M] () -- C:\Users\Paweł\xvzgqoohcx.exe
[2013-03-29 10:06:42 | 000,048,201 | ---- | M] () -- C:\Users\Paweł\ayvhhbez.exe

:Files
C:\Users\Paweł\AppData\Local\Temp*.html
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller + nowe logi z OTL (koniecznie oba!).

Post30 mar 2013, 18:17

log OTL
Dostępne tylko dla zarejestrowanych użytkowników

log ADWCleaner
Dostępne tylko dla zarejestrowanych użytkowników

log RectorDescryptor
Dostępne tylko dla zarejestrowanych użytkowników

log TDSSKiller
Dostępne tylko dla zarejestrowanych użytkowników

nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników Extras

Post30 mar 2013, 22:44

ADWCleaner.

Odinstaluj.

Konieczne działanie.

Użyj Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF
[2013-03-29 14:01:28 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Roaming\Ad-Aware Antivirus
[2013-03-29 14:01:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Antivirus
[2013-03-29 14:00:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
[2013-03-29 10:29:53 | 000,287,840 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\aswBoot.exe
[2013-03-29 10:29:19 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2013-03-29 10:28:33 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2013-03-28 21:31:31 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Local\gctmp

:Files
C:\Users\Paweł\AppData\Local\Temp*.html

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post31 mar 2013, 16:25

usuwanie
Dostępne tylko dla zarejestrowanych użytkowników

otl
Dostępne tylko dla zarejestrowanych użytkowników

Post31 mar 2013, 16:38

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2013-03-30 19:07:33 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Paweł\Desktop\tdsskiller.exe
[2013-03-30 19:00:59 | 000,518,240 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Paweł\Desktop\rectordecryptor.exe
[2013-03-29 18:18:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy

:Files
C:\Users\Paweł\AppData\Local\Temp*.html

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post31 mar 2013, 18:09

OTL usuwanie
Dostępne tylko dla zarejestrowanych użytkowników

log z autoruns
Dostępne tylko dla zarejestrowanych użytkowników

Post31 mar 2013, 18:27

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Logitech Download Assistant

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
GrooveMonitor
HDAudDeck
SunJavaUpdateSched

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Google Chrome
Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
Futuremark SystemInfo Service
gupdate
gupdatem
MBAMScheduler
MBAMService
Microsoft Office Groove Audit Service
nvsvc
nvUpdatusService
odserv
ose
Stereo Service
VIAKaraokeService
wampapache
wampmysqld
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

cpuz135

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.vorbis

Logi.

Następnie podajesz nowe logi z OTL.

Post01 kwie 2013, 10:18

nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post01 kwie 2013, 11:20

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Paweł\AppData\Local\Temp*.html

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Kroki Finalizujące.

Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.

Post01 kwie 2013, 13:03

usuwanie OTL
Dostępne tylko dla zarejestrowanych użytkowników

Malware niczego nie znalazł.

Post01 kwie 2013, 18:04

123grim pisze:usuwanie OTL
Dostępne tylko dla zarejestrowanych użytkowników

Malware niczego nie znalazł.

Czy są jeszcze jakieś problemy?

Post02 kwie 2013, 11:45

To wszystko, ślicznie dziękuję za pomoc. Temat do zamknięcia. Pozdrawiam.

Zgodnie z życzeniem zamykam,
XMan.