Trojan UKASH (ransomware) - prośba o pomoc.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
JanLukas

Użytkownik
Posty: 1
Rejestracja: 14 lip 2012, 21:48

Trojan UKASH (ransomware) - prośba o pomoc.

Post15 lip 2012, 09:04

Witam.

Zostałem zaatakowany trojanem UKASH. Po zalogowaniu na moje konto administratora w win7 64bit wyświetla się informacja o blokadzie systemu z powodu naruszenia praw autorskich oraz instrukcje dot. jego odblokowania - tj. wpłacenia 500 zł przez platformę UKASH. Zgodnie z poradnikiem który znalazłem w sieci zainstalowalem i zastosowałem program HitmanPro - bez skutku. Posiadam również program antywirusowy AVG 2011, po skanowaniu w trybie awaryjnym nic nie wykrył (nie muszę chyba dodawać, że trafił mnie wtedy szlag).

Log OTL poniżej (log 'extra' nie chce się utworzyć - błąd win32).

Dostępne tylko dla zarejestrowanych użytkowników


Byłbym wdzięczny za wszelką pomoc.
'edit'
jeśli to offtop to przepraszam, ale znalazłem rozwiązanie na co najmniej tymczasowe uporanie się z tym trojanem:

Kod: Zaznacz cały

http://www.2-viruses.com/remove-ukash-virus
<-- ten sposób zdał egzamin pod względem uruchomienia się win, lecz nadal siedzi mi w kompie(za soft podany tam trzeba płacić), ergo - nadal potrzebuję pomocy.

pozdrawiam
Janek
Na górę
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:
Skontaktuj się z djarta

Trojan UKASH (ransomware) - prośba o pomoc.

Post15 lip 2012, 10:23

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\WinDir\Svchost.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-741995698-27301881-3234769972-1001..\Run: [HKCU] C:\Windows\SysWOW64\WinDir\Svchost.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-741995698-27301881-3234769972-1001..\Run: [Overwolf] C:\Program Files (x86)\Overwolf\Overwolf.exe -silent File not found
O4 - HKLM..\Run: [HDD Regenerator] "C:\Program Files (x86)\HDD Regenerator\HDD Regenerator.exe" File not found
O4 - HKLM..\Run: [HKLM] C:\Windows\SysWOW64\WinDir\Svchost.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [RAMDef] C:\Program Files (x86)\RAM Def\ramdef.exe -tray File not found
O4 - HKLM..\Run: [UnlockerAssistant] "C:\Program Files (x86)\Unlocker\UnlockerAssistant.exe" File not found
O4:64bit: - HKLM..\Run: [RpcEpMap] C:\Users\Johnny\AppData\Local\Microsoft\Windows\3096\RpcEpMap.exe ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
IE - HKU\S-1-5-21-741995698-27301881-3234769972-1001\..\SearchScopes\{ECA735D2-4A50-4C4E-A692-078D6EE48301}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=en_US&apn_ptnrs=2K&apn_dtid=YYYYYYYYPL&apn_uid=C879F88D-81C7-47E2-8D6F-05316B9CEA14&apn_sauid=CC5FAC37-D361-4712-985F-A2541EB54D37
O7 - HKU\S-1-5-21-741995698-27301881-3234769972-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\WinDir\Svchost.exe (Microsoft Corporation)

:Files
C:\Users\Johnny\AppData\Roaming\hellomoto
C:\Users\Johnny\AppData\Local\Microsoft\Windows\3096
C:\Windows\SysWOW64\WinDir
C:\Windows\system32\WinDir
C:\Users\Johnny\AppData\Local\*.html
C:\Windows\Tasks\SidebarExecute.job
C:\Windows\Tasks\RunOW.job

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Użyj Dostępne tylko dla zarejestrowanych użytkowników z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

3. Pokaż log z Dostępne tylko dla zarejestrowanych użytkowników. Rozpakuj, uruchom go, wciśnij Start Scan i czekaj, aż zakończy się skanowanie. Raport znajdziesz na partycji C:\

4. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.

Końcowo przedstawiasz logi z:
  • Raport z usuwania OTL'em
  • Raport z czyszczenia AdwCleanerem
  • Raport ze skanu TDSSKillera
  • Nowe logi z OTL (OTL.txt + Extras.txt)
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości