Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Polska Policja Cyberprzestępczość Departament - po ComboFix'ie


  • Zamknięty Temat jest zamknięty
9 odpowiedzi w tym temacie

#1
noordinary

noordinary

    Użytkownik

  • Użytkownicy
  • PipPip
  • 11 postów
Witam serdecznie,

W dniu wczorajszym zaatakował mnie ransomware, blokujący komputer przy próbie łączenia się z sięcią i wyświetlający komunikat Polska Polcja Cyberprzestępczość Departament z koniecznością zapłaty 300zł (screen wyświetlanej u mnie wersji komunikatu jest widoczny jako pierwsza grafika pod adresem - http://sposob-na-kom...e/wirus-weelsof).

Zanim trafiłem na to forum, skorzystałem z porady na podanej stronie i skorzystałem z ComboFixa - w trakcie jego pracy dopiero trafiłem na to forum. Jego pracy nie przerwałem, a program skończył swoje działanie. Następnie system przeskanowałem zainstalowanym na nowo ESET NOD32, który usunął 40 zainfekowanych plików. W efekcie sam komunikat zniknął, system pracuje sprawnie, łączenie z sieciami działa również prawidłowo.

Jednak problem, już po działaniu combofixa jest tego typo co przestawiony tutaj: (http://www.fixitpc.p...-dopadl-i-mnie/). Mianowicie, przy uruchomieniu systemu, wydaje się jakby próbowało się załadować jakiś program (przez chwilę pojawia się małe okno konsoli), po czym wyskakuje komunikat z błędem (załącznik blad.jpg), a nastepnie pojawia się okno rejestru (załącznik rejestr.jpg). Sprawia to wrażenie jakby problem z ransomware nie do końca się rozwiązał i istniały jeszcze jakieś po nim pozostałości.

System Windows 7 professional SP1 64 bit

Bardzo bym prosił o udzielenie pomocy/

_________________________________________________
Z dodatkowych informacji - o zmianie softu po działaniu ComboFixa (choć myślę że jest to widoczne w przesłanych logach (?)): wgrywany został ESET, Ad-aware oraz aktualizowana była JAVA i Adobe FlashPlayer - po raporcie SECUNIA). Dodatkowo załączam log z SecurityCheck:



Results of screen317's Security Check version 0.99.56
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
ESET NOD32 Antivirus 5.2
Lavasoft Ad-Aware
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Ad-Aware
Malwarebytes Anti-Malware wersja 1.65.1.1000
JavaFX 2.1.1
Java 7 Update 9
Adobe Flash Player 11.5.502.110
Adobe Reader 10.1.4 Adobe Reader out of Date!
Mozilla Firefox (17.0)
Google Chrome 21.0.1180.83
Google Chrome 21.0.1180.89
Google Chrome 22.0.1229.79
Google Chrome 22.0.1229.92
Google Chrome 22.0.1229.94
Google Chrome 23.0.1271.64
Google Chrome 23.0.1271.91
Google Chrome 23.0.1271.95
````````Process Check: objlist.exe by Laurent````````
Ad-Aware AAWService.exe is disabled!
Ad-Aware AAWTray.exe is disabled!
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Ad-Aware Antivirus AdAwareService.exe
Ad-Aware Antivirus SBAMSvc.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Załączone miniatury

  • blad.jpg
  • rejestr.jpg

Załączone pliki

  • Załączony plik  OTL.Txt   125.67 KB   119 Ilość pobrań
  • Załączony plik  Extras.Txt   99.44 KB   63 Ilość pobrań


#2
picasso

picasso

    Administrator

  • Administratorzy
  • 28238 postów

Jednak problem, już po działaniu combofixa jest tego typo co przestawiony tutaj: (http://www.fixitpc.p...-dopadl-i-mnie/). Mianowicie, przy uruchomieniu systemu, wydaje się jakby próbowało się załadować jakiś program (przez chwilę pojawia się małe okno konsoli), po czym wyskakuje komunikat z błędem (załącznik blad.jpg), a nastepnie pojawia się okno rejestru (załącznik rejestr.jpg). Sprawia to wrażenie jakby problem z ransomware nie do końca się rozwiązał i istniały jeszcze jakieś po nim pozostałości.


Skoro uruchomiłeś ComboFix, to należało podać do oceny log który wtedy utworzył. Mówią o tym zasady działu. A te błędy startowe stąd, że ComboFix wcale nie usunął infekcji do końca, ładuje się skrót runctf.lnk. Poza tym, jest więcej obiektów infekcji.


Z dodatkowych informacji - o zmianie softu po działaniu ComboFixa (choć myślę że jest to widoczne w przesłanych logach (?)): wgrywany został ESET, Ad-aware


ESET i Ad-aware = dubel funkcji. Ad-aware to jest już antywirus a nie tylko "anty-spyware".


 
Przechodząc do usuwania infekcji i innych:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Maciek\AppData\Roaming\DCdJOya.exe
C:\Users\Maciek\AppData\Roaming\8A013
C:\Users\Maciek\AppData\Roaming\AVG2012
C:\Windows\SysNative\http___212.51.210.121_8080_han_knovel_www.knovel.com_contentapp_pdf_1712_46373_34.pdf_cid=20775495#xml=http___www.knovel.com_xml_highlight.jsp_pdf=http___www.knovel.com_contentapp_pdf_1712_46373_34.lnk
C:\Program Files (x86)\uik.dat
C:\Program Files (x86)\is.dat
C:\ProgramData\Search Protection
C:\ProgramData\blekko toolbars

:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [SearchProtection] C:\ProgramData\Search Protection\_run.bat ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 15895 = C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif (The UPX Team "http://upx.sf.net")

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Klik w Wykonaj skrypt. System zostanie zrestartowany, a błąd powinien ustąpić.

2. Przez Panel sterowania odinstaluj jeden z antywirusów, ESET lub Ad-aware, oraz toolbar Ad-Aware Security Add-on. Otwórz Firefox i w Dodatkach odinstaluj adware BitTorrentBar Community Toolbar. W Google Chrome w Rozszerzeniach z kolei usuń AVG Safe Search, BitTorrentBar.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner oraz wtedy przez ComboFix (C:\ComboFix.txt).



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
noordinary

noordinary

    Użytkownik

  • Użytkownicy
  • PipPip
  • 11 postów
Dziękuję za odpowiedź. Przepraszam za niezałączony raport z ComboFixa.

Obecnie załączam logi o których wspomniałaś w wiadomości: log ComboFix, log z AdwCleaner, log z OTL po czynnościach, oraz log z Farbar Service Scanner. Utworzony został równiez po wykonaniu skryptu w OTL, plik - raport - który również załączam (domyślnie jest to plik z rozszerzeniem *.log, który zapisałem jednak jako *.txt: 12052012_155819.txt) - przepraszam jeśli jest zbędny.

Również wg zaleceń usunąłem jednego antywirusa: a więc Ad-Aware, oraz pozostałości po AVG i dodatki BitTorrent.

Dodam jeszcze tylko ostatnie zgłoszenie z Dziennika ESET'a NOD32, które wystąpiły:

2012-12-05 15:58:27 Ochrona systemu plików w czasie rzeczywistym plik C:\_OTL\MovedFiles\12052012_155819\C_Users\Maciek\AppData\Roaming\DCdJOya.exe Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Users\Maciek\Desktop\PLIKI\instalki\SECUNIA\OTL.exe.
2012-12-05 13:00:14 Skaner przy uruchamianiu plik C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie
2012-12-04 10:25:26 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\Maciek\AppData\Local\Temp\JSDiIM8_.exe.part odmiana zagrożenia Win32/DobreProgramy potencjalnie niepożądana aplikacja wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.


Proszę o analizę i ocenę plików.

Załączone pliki



#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28238 postów

Dodam jeszcze tylko ostatnie zgłoszenie z Dziennika ESET'a NOD32, które wystąpiły


Pierwszy się nie liczy, to kwarantanna OTL, mój skrypt ten plik przesuwał tam. Reszta w lokalizacjach tymczasowych (czyszczone skryptem OTL).


Zadania pomyślnie wykonane, tylko poprawki zostały.

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Usunięcie szczątków po Ad-aware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
[2012-12-04 10:43:59 | 000,000,000 | ---D | C] -- C:\Users\Maciek\AppData\Roaming\LavasoftStatistics
[2012-12-04 10:27:19 | 000,000,616 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml
DRV:64bit: - [2012-12-04 10:28:03 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto)


Klik w Wykonaj skrypt.

3. Firefox: wejdź do opcji i ustaw inną stronę startową niż safesearchr.lavasoft.com, a w Dodatkach odinstaluj Lavasoft Search Plugin.

4. Google Chrome: wejdź do ustawień i zmień stronę startową z safesearchr.lavasoft.com na Google, a także w zarządzaniu wyszukiwarkami przestaw domyślną z blekko na Google, po tym blekko usuń z listy. Dodatkowo, jest w preferencjach martwa wtyczka AVG:

========== Chrome  ==========

CHR - plugin: AVG Internet Security (Enabled) = C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla\12.0.0.1901_0\plugins/avgnpss.dll


Usunięcie tego wymaga już edycji pliku Preferences. Skopiuj na Pulpit plik:

C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences

Shostuj gdzieś i prześlij link. Plik zedytuję i odeślę do podstawienia.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
noordinary

noordinary

    Użytkownik

  • Użytkownicy
  • PipPip
  • 11 postów
Dziękuję za odpowiedź.

Link do pliku Preferences: http://www.sendspace...064bb7bdf56d233


Chciałbym zapytać się jeszcze czy można coś poradzić na otwierające się każdorazowo przy uruchamianiu komputera okno z Edycją rejestru (screen w pierwszym poście). Dzięki pozdrawiam,

#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28238 postów
1. Przesyłam zedytowany plik Preferences zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być czynne w procesach!). Podmień pliki Preferences. Następnie uruchom Google Chrome, w celu sprawdzenia czy przyjął plik, tzn. nie wyrzuca żadnego błędu przy uruchomieniu.

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).


Chciałbym zapytać się jeszcze czy można coś poradzić na otwierające się każdorazowo przy uruchamianiu komputera okno z Edycją rejestru (screen w pierwszym poście).


Widocznie w starcie siedzi jakiś program, który produkuje takie skutki uboczne. Na początek zrób wstępne wyłączenie części zbędnych wpisów i zobaczymy co z tego wyniknie. Uruchom Autoruns i w karcie Logon wyłącz ALLUpdate + TkBellExe.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#7
noordinary

noordinary

    Użytkownik

  • Użytkownicy
  • PipPip
  • 11 postów
Dziękuję, plik Preferences przyjęty, bez błędów po uruchomieniu Google Chrome.

Załączam nowy log z OTL.

Wyłączyłem wspomniane zdarzenia z Autoruns, jednak nie przyniosło to w skutkach nie uruchamiania się okna Edycji Rejestru przy włączaniu się komputera. Dodatkowo wyłączyłem kilka innych zdarzeń jak ShowBatteryBar, czy narzędzia OfficeSyncProcess (załącznik autorun2.jpg). Również to nie pomogło. Ale ustalmy że to nie będzie mi przeszkadzało jeśli już komputer jest oczyszczony. Przejrzałem z ciekawości pozostałe zakładki z programu Autoruns i w Drivers fragment przykuł moją uwagę (jest tam pozostałość po ComboFix'ie) - w załączniku autorun.jpg. Czy może należy ją wyłączyć?

Jeśli nie masz może jeszcze jakiś uwag, to proszę o informacje czy można finalizować temat i wykonać mam kroki czyszczące (http://www.fixitpc.p...lizujace-temat/).

Załączone miniatury

  • autorun.jpg
  • autorun2.jpg

Załączone pliki

  • Załączony plik  OTL.Txt   114.16 KB   51 Ilość pobrań


#8
picasso

picasso

    Administrator

  • Administratorzy
  • 28238 postów
Zadanie z Google Chrome prawidłowo zrobione. Przejdź do tej partii zadań:

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\Users\Maciek\Desktop\PLIKI\instalki\ComboFix.exe /uninstall

2. Następnie wyczyść pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.


Wyłączyłem wspomniane zdarzenia z Autoruns, jednak nie przyniosło to w skutkach nie uruchamiania się okna Edycji Rejestru przy włączaniu się komputera. Dodatkowo wyłączyłem kilka innych zdarzeń jak ShowBatteryBar, czy narzędzia OfficeSyncProcess (załącznik autorun2.jpg). Również to nie pomogło. Ale ustalmy że to nie będzie mi przeszkadzało jeśli już komputer jest oczyszczony.


Przeprowadź test z czystym rozruchem: KB929135. Jeśli on wyeliminuje efekt, zacznij się cofać "w tył" włączając partiami zdeaktywowane wpisy (możesz do tego użyć Autoruns), aż wychwycisz który wpis tworzy problem. Ten na stałe zostawisz jako wyłączony.


Przejrzałem z ciekawości pozostałe zakładki z programu Autoruns i w Drivers fragment przykuł moją uwagę (jest tam pozostałość po ComboFix'ie) - w załączniku autorun.jpg. Czy może należy ją wyłączyć?


ComboFix najpierw należy odinstalować (zadane wyżej). Jeśli ta usługa Catchme nie zniknie samodzielnie, możesz ją spokojnie skasować za pomocą Autoruns. Wszystkie żółte wpisy "not found" widoczne na podanych obrazkach.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#9
noordinary

noordinary

    Użytkownik

  • Użytkownicy
  • PipPip
  • 11 postów
Dziękuję, odinstalowanie i oczyszczanie zakończyło się powodzeniem.

Przeprowadziłem czysty rozruch. Ze stopniowego załączania kolejnych programów, w zakładce Uruchamianie z MSCONFIG.EXE został tylko jeden program - Regedit32, który nie był widoczny jednocześnie w programie Autoruns. Obecnie nie wyskakuje już żadne okno.

Dziękuję jeszcze raz za udzieloną pomoc. Mam nadzieję że chociaż w najbliższym czasie nie będzie ona już potrzebna :ph34r:, a jeśli stanie się konieczna to cieszę się że będę wiedział do kogo mogę się o tą pomoc zwrócić ^_^ W podziękowaniu przesyłam małą wpłatę, mając nadzieje że forum dalej będzie się rozwijać. Pozdrawiam.

Załączone miniatury

  • czyste.jpg


#10
picasso

picasso

    Administrator

  • Administratorzy
  • 28238 postów
Na zakończenie jeszcze sobie zaktualizuj Adobe Reader X (10.1.4). Najnowszy to Adobe Reader XI: KLIK.

Widzę zainstalowany także Tlen.pl. Program jest martwy i nierozwijany. Polecam zamiennie WTW (obsługuje sieć Gadu i Tlen.pl): KLIK.


Ze stopniowego załączania kolejnych programów, w zakładce Uruchamianie z MSCONFIG.EXE został tylko jeden program - Regedit32, który nie był widoczny jednocześnie w programie Autoruns. Obecnie nie wyskakuje już żadne okno.


Rzeczywiście ten wpis Regedit32 nie był widoczny ani w OTL ani w Autoruns. To jest chyba część cracka do ESET...


W podziękowaniu przesyłam małą wpłatę, mając nadzieje że forum dalej będzie się rozwijać.


Dziękuję.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych