PUM.UserWLoad i Trojan.Ransom

[kuba180]

mam problem ponieważ co usunę te dwa badziewia malwarebyte to po uruchomieniu ponownym znowu sie pojawiaja... także prosiłbym o pomoc...

log malware:
Dostępne tylko dla zarejestrowanych użytkowników

log otl:
Dostępne tylko dla zarejestrowanych użytkowników

tdsskiller:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
 

:OTL
F3:64bit: - HKCU WinNT: Load - (C:\Users\Jakub\LOCALS~1\Temp\mscubiau.com) - File not found
F3 - HKCU WinNT: Load - (C:\Users\Jakub\LOCALS~1\Temp\mscubiau.com) - File not found

:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Uruchom Dostępne tylko dla zarejestrowanych użytkowników i zastosuj Delete. Na dysku C powstanie log z usuwania.

3. Wykonujesz nowe logi z OTL. Dajesz raport z czyszczenia AdwCleanerem oraz raport z czyszczenia OTL'em.

[kuba180]

otl czyszczenie:
Dostępne tylko dla zarejestrowanych użytkowników

adw log:
Dostępne tylko dla zarejestrowanych użytkowników

otl nowy:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Zrób ponowny skan MBAM i sprawdź czy dalej wykrywa te dwa wpisy w rejestrze.

[kuba180]

MBAM i sprawdź czy dalej wykrywa te dwa wpisy w rejestrze.

nie, tak poza tym w OTLu wszystko jest ok czy jeszcze coś można ew poczyścić ?;)

[kominekl]

MBAM i sprawdź czy dalej wykrywa te dwa wpisy w rejestrze.

nie, tak poza tym w OTLu wszystko jest ok czy jeszcze coś można ew poczyścić ?;)

Mogę przeprowadzić optymalizację jeszcze. Kolega pracę z wirusem wykonał wzorowo .

[kuba180]

optymalizację jeszcze

jak już robić to ok bo znowu coś komputer zamula dziwnie ;(

[kominekl]

ADWCleaner.

Odinstaluj.

Logi.

Podaj nowe logi z OTL (oba).

[kuba180]

extras
Dostępne tylko dla zarejestrowanych użytkowników

log
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"InstallShield_{0B61BBD5-DA3C-409A-8730-0C3DC3B0F270}" = Acer Backup Manager
"MSC" = McAfee Internet Security Suite

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-2973824026-1583403101-3371648725-1001\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-2973824026-1583403101-3371648725-1001\..\SearchScopes\{27D7DD84-6961-4764-8D04-F9898FD3C053}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3260501
IE - HKU\S-1-5-21-2973824026-1583403101-3371648725-1001\..\SearchScopes\{691C8B58-DE6D-4383-A687-506A5FCB73DB}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=^PV&apn_dtid=^YYYYYY^YY^PL&apn_uid=f667c606-0e49-47ec-9acc-532bcf23536a&apn_sauid=71CAD0FC-8AFC-45D2-9ECB-4A14DAB18168
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_171.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013/01/30 17:08:11 | 000,000,000 | ---D | M]
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2013/03/11 00:50:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab

:Files
C:\Users\Jakub\Documents\*.reg

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[kuba180]

mcafee nie umiem usunąć...
foto:


-- 14 mar 2013, 09:34 --

dobra juz ogarnalem po poludniu wrzuce z autoruns'a

-- 14 mar 2013, 18:30 --

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W Autoruns, w trybie awaryjnym odznacz::

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

IgfxTray
Persistence
RTHDVCPL

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

LManager

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Internet Explorer
Microsoft Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

cphs
DsiWMIService
EgisTec Ticket Service
FLEXnet Licensing Service
Freemake Improver
FreemakeVideoCapture
GamesAppService
IAStorDataMgrSvc
Intel(R) Capability Licensing Service Interface
jhi_service
Live Updater Service
MBAMScheduler
MBAMService
McAWFwk
Microsoft SharePoint Workspace Audit Service
MozillaMaintenance
NOBU
nvUpdatusService
ose64
osppsvc
Skype C2C Service
UNS
WinDefend
wlidsvc
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

C:\Windows\system32\nvinitx.dll

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

C:\Windows\SysWOW64\nvinit.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Logi.

Następnie sprawdź, czy wszystko OK, jeśli tak to usuń odznaczone wpisy w Autoruns (również w awaryjnym). Następnie podajesz nowe logi z OTL.

[kuba180]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

tego nie szło w awaryjnym jakiś błąd wywalało


logi otl:
Dostępne tylko dla zarejestrowanych użytkowników

extras:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF:64bit: - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll File not found
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKU\S-1-5-21-2973824026-1583403101-3371648725-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2973824026-1583403101-3371648725-1000..\RunOnce: [ScrSav] C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe /default File not found
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013/03/13 23:55:39 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/03/22 00:27:51 | 002,903,774 | ---- | M] () -- C:\Users\Jakub\Desktop\AutoRuns.arn
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:07BF512B

:Files
c:\PROGRA~1\mcafee
C:\Users\Jakub\Downloads\9clcjhab.exe
C:\Users\Jakub\AppData\Local\Temp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Kroki Finalizujące.

Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.

[kuba180]

Malwareb

Dostępne tylko dla zarejestrowanych użytkowników

otl:

Dostępne tylko dla zarejestrowanych użytkowników

cała reszta też zrobiona