Skocz do zawartości

Polska Policja Cyberprzestępczość Departament - po ComboFix'ie


Rekomendowane odpowiedzi

Witam serdecznie,

 

W dniu wczorajszym zaatakował mnie ransomware, blokujący komputer przy próbie łączenia się z sięcią i wyświetlający komunikat Polska Polcja Cyberprzestępczość Departament z koniecznością zapłaty 300zł (screen wyświetlanej u mnie wersji komunikatu jest widoczny jako pierwsza grafika pod adresem - http://sposob-na-kom...e/wirus-weelsof).

 

Zanim trafiłem na to forum, skorzystałem z porady na podanej stronie i skorzystałem z ComboFixa - w trakcie jego pracy dopiero trafiłem na to forum. Jego pracy nie przerwałem, a program skończył swoje działanie. Następnie system przeskanowałem zainstalowanym na nowo ESET NOD32, który usunął 40 zainfekowanych plików. W efekcie sam komunikat zniknął, system pracuje sprawnie, łączenie z sieciami działa również prawidłowo.

 

Jednak problem, już po działaniu combofixa jest tego typo co przestawiony tutaj: (http://www.fixitpc.p...-dopadl-i-mnie/). Mianowicie, przy uruchomieniu systemu, wydaje się jakby próbowało się załadować jakiś program (przez chwilę pojawia się małe okno konsoli), po czym wyskakuje komunikat z błędem (załącznik blad.jpg), a nastepnie pojawia się okno rejestru (załącznik rejestr.jpg). Sprawia to wrażenie jakby problem z ransomware nie do końca się rozwiązał i istniały jeszcze jakieś po nim pozostałości.

 

System Windows 7 professional SP1 64 bit

 

Bardzo bym prosił o udzielenie pomocy/

 

_________________________________________________

Z dodatkowych informacji - o zmianie softu po działaniu ComboFixa (choć myślę że jest to widoczne w przesłanych logach (?)): wgrywany został ESET, Ad-aware oraz aktualizowana była JAVA i Adobe FlashPlayer - po raporcie SECUNIA). Dodatkowo załączam log z SecurityCheck:

 

 

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

ESET NOD32 Antivirus 5.2

Lavasoft Ad-Aware

Antivirus up to date! (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

Ad-Aware

Malwarebytes Anti-Malware wersja 1.65.1.1000

JavaFX 2.1.1

Java 7 Update 9

Adobe Flash Player 11.5.502.110

Adobe Reader 10.1.4 Adobe Reader out of Date!

Mozilla Firefox (17.0)

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

Google Chrome 22.0.1229.79

Google Chrome 22.0.1229.92

Google Chrome 22.0.1229.94

Google Chrome 23.0.1271.64

Google Chrome 23.0.1271.91

Google Chrome 23.0.1271.95

````````Process Check: objlist.exe by Laurent````````

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

Malwarebytes Anti-Malware mbamservice.exe

Malwarebytes Anti-Malware mbamgui.exe

Ad-Aware Antivirus AdAwareService.exe

Ad-Aware Antivirus SBAMSvc.exe

Malwarebytes' Anti-Malware mbamscheduler.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

post-9077-0-59655900-1354643402_thumb.jpg

post-9077-0-27281000-1354643409_thumb.jpg

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Jednak problem, już po działaniu combofixa jest tego typo co przestawiony tutaj: (http://www.fixitpc.p...-dopadl-i-mnie/). Mianowicie, przy uruchomieniu systemu, wydaje się jakby próbowało się załadować jakiś program (przez chwilę pojawia się małe okno konsoli), po czym wyskakuje komunikat z błędem (załącznik blad.jpg), a nastepnie pojawia się okno rejestru (załącznik rejestr.jpg). Sprawia to wrażenie jakby problem z ransomware nie do końca się rozwiązał i istniały jeszcze jakieś po nim pozostałości.

 

Skoro uruchomiłeś ComboFix, to należało podać do oceny log który wtedy utworzył. Mówią o tym zasady działu. A te błędy startowe stąd, że ComboFix wcale nie usunął infekcji do końca, ładuje się skrót runctf.lnk. Poza tym, jest więcej obiektów infekcji.

 

 

Z dodatkowych informacji - o zmianie softu po działaniu ComboFixa (choć myślę że jest to widoczne w przesłanych logach (?)): wgrywany został ESET, Ad-aware

 

ESET i Ad-aware = dubel funkcji. Ad-aware to jest już antywirus a nie tylko "anty-spyware".

 

 


Przechodząc do usuwania infekcji i innych:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Maciek\AppData\Roaming\DCdJOya.exe
C:\Users\Maciek\AppData\Roaming\8A013
C:\Users\Maciek\AppData\Roaming\AVG2012
C:\Windows\SysNative\http___212.51.210.121_8080_han_knovel_www.knovel.com_contentapp_pdf_1712_46373_34.pdf_cid=20775495#xml=http___www.knovel.com_xml_highlight.jsp_pdf=http___www.knovel.com_contentapp_pdf_1712_46373_34.lnk
C:\Program Files (x86)\uik.dat
C:\Program Files (x86)\is.dat
C:\ProgramData\Search Protection
C:\ProgramData\blekko toolbars
 
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [searchProtection] C:\ProgramData\Search Protection\_run.bat ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 15895 = C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif (The UPX Team "http://upx.sf.net")
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, a błąd powinien ustąpić.

 

2. Przez Panel sterowania odinstaluj jeden z antywirusów, ESET lub Ad-aware, oraz toolbar Ad-Aware Security Add-on. Otwórz Firefox i w Dodatkach odinstaluj adware BitTorrentBar Community Toolbar. W Google Chrome w Rozszerzeniach z kolei usuń AVG Safe Search, BitTorrentBar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner oraz wtedy przez ComboFix (C:\ComboFix.txt).

 

 

 

.

Odnośnik do komentarza

Dziękuję za odpowiedź. Przepraszam za niezałączony raport z ComboFixa.

 

Obecnie załączam logi o których wspomniałaś w wiadomości: log ComboFix, log z AdwCleaner, log z OTL po czynnościach, oraz log z Farbar Service Scanner. Utworzony został równiez po wykonaniu skryptu w OTL, plik - raport - który również załączam (domyślnie jest to plik z rozszerzeniem *.log, który zapisałem jednak jako *.txt: 12052012_155819.txt) - przepraszam jeśli jest zbędny.

 

Również wg zaleceń usunąłem jednego antywirusa: a więc Ad-Aware, oraz pozostałości po AVG i dodatki BitTorrent.

 

Dodam jeszcze tylko ostatnie zgłoszenie z Dziennika ESET'a NOD32, które wystąpiły:

 

2012-12-05 15:58:27 Ochrona systemu plików w czasie rzeczywistym plik C:\_OTL\MovedFiles\12052012_155819\C_Users\Maciek\AppData\Roaming\DCdJOya.exe Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Users\Maciek\Desktop\PLIKI\instalki\SECUNIA\OTL.exe.

2012-12-05 13:00:14 Skaner przy uruchamianiu plik C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie

2012-12-04 10:25:26 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\Maciek\AppData\Local\Temp\JSDiIM8_.exe.part odmiana zagrożenia Win32/DobreProgramy potencjalnie niepożądana aplikacja wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

 

Proszę o analizę i ocenę plików.

ComboFix.txt

OTL.Txt

AdwCleanerS1.txt

FSS.txt

12052012_155819.txt

Odnośnik do komentarza
Dodam jeszcze tylko ostatnie zgłoszenie z Dziennika ESET'a NOD32, które wystąpiły

 

Pierwszy się nie liczy, to kwarantanna OTL, mój skrypt ten plik przesuwał tam. Reszta w lokalizacjach tymczasowych (czyszczone skryptem OTL).

 

 

Zadania pomyślnie wykonane, tylko poprawki zostały.

 

1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Usunięcie szczątków po Ad-aware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

[2012-12-04 10:43:59 | 000,000,000 | ---D | C] -- C:\Users\Maciek\AppData\Roaming\LavasoftStatistics

[2012-12-04 10:27:19 | 000,000,616 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml

DRV:64bit: - [2012-12-04 10:28:03 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto)

 

Klik w Wykonaj skrypt.

 

3. Firefox: wejdź do opcji i ustaw inną stronę startową niż safesearchr.lavasoft.com, a w Dodatkach odinstaluj Lavasoft Search Plugin.

 

4. Google Chrome: wejdź do ustawień i zmień stronę startową z safesearchr.lavasoft.com na Google, a także w zarządzaniu wyszukiwarkami przestaw domyślną z blekko na Google, po tym blekko usuń z listy. Dodatkowo, jest w preferencjach martwa wtyczka AVG:

 

========== Chrome  ==========

 

CHR - plugin: AVG Internet Security (Enabled) = C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla\12.0.0.1901_0\plugins/avgnpss.dll

 

Usunięcie tego wymaga już edycji pliku Preferences. Skopiuj na Pulpit plik:

 

C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i prześlij link. Plik zedytuję i odeślę do podstawienia.

 

 

 

.

Odnośnik do komentarza

1. Przesyłam zedytowany plik Preferences zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być czynne w procesach!). Podmień pliki Preferences. Następnie uruchom Google Chrome, w celu sprawdzenia czy przyjął plik, tzn. nie wyrzuca żadnego błędu przy uruchomieniu.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

Chciałbym zapytać się jeszcze czy można coś poradzić na otwierające się każdorazowo przy uruchamianiu komputera okno z Edycją rejestru (screen w pierwszym poście).

 

Widocznie w starcie siedzi jakiś program, który produkuje takie skutki uboczne. Na początek zrób wstępne wyłączenie części zbędnych wpisów i zobaczymy co z tego wyniknie. Uruchom Autoruns i w karcie Logon wyłącz ALLUpdate + TkBellExe.

 

 

.

Odnośnik do komentarza

Dziękuję, plik Preferences przyjęty, bez błędów po uruchomieniu Google Chrome.

 

Załączam nowy log z OTL.

 

Wyłączyłem wspomniane zdarzenia z Autoruns, jednak nie przyniosło to w skutkach nie uruchamiania się okna Edycji Rejestru przy włączaniu się komputera. Dodatkowo wyłączyłem kilka innych zdarzeń jak ShowBatteryBar, czy narzędzia OfficeSyncProcess (załącznik autorun2.jpg). Również to nie pomogło. Ale ustalmy że to nie będzie mi przeszkadzało jeśli już komputer jest oczyszczony. Przejrzałem z ciekawości pozostałe zakładki z programu Autoruns i w Drivers fragment przykuł moją uwagę (jest tam pozostałość po ComboFix'ie) - w załączniku autorun.jpg. Czy może należy ją wyłączyć?

 

Jeśli nie masz może jeszcze jakiś uwag, to proszę o informacje czy można finalizować temat i wykonać mam kroki czyszczące (http://www.fixitpc.p...lizujace-temat/).

OTL.Txt

post-9077-0-96756100-1354884286_thumb.jpg

post-9077-0-28406100-1354885120_thumb.jpg

Odnośnik do komentarza

Zadanie z Google Chrome prawidłowo zrobione. Przejdź do tej partii zadań:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Maciek\Desktop\PLIKI\instalki\ComboFix.exe /uninstall

 

2. Następnie wyczyść pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

 

Wyłączyłem wspomniane zdarzenia z Autoruns, jednak nie przyniosło to w skutkach nie uruchamiania się okna Edycji Rejestru przy włączaniu się komputera. Dodatkowo wyłączyłem kilka innych zdarzeń jak ShowBatteryBar, czy narzędzia OfficeSyncProcess (załącznik autorun2.jpg). Również to nie pomogło. Ale ustalmy że to nie będzie mi przeszkadzało jeśli już komputer jest oczyszczony.

 

Przeprowadź test z czystym rozruchem: KB929135. Jeśli on wyeliminuje efekt, zacznij się cofać "w tył" włączając partiami zdeaktywowane wpisy (możesz do tego użyć Autoruns), aż wychwycisz który wpis tworzy problem. Ten na stałe zostawisz jako wyłączony.

 

 

Przejrzałem z ciekawości pozostałe zakładki z programu Autoruns i w Drivers fragment przykuł moją uwagę (jest tam pozostałość po ComboFix'ie) - w załączniku autorun.jpg. Czy może należy ją wyłączyć?

 

ComboFix najpierw należy odinstalować (zadane wyżej). Jeśli ta usługa Catchme nie zniknie samodzielnie, możesz ją spokojnie skasować za pomocą Autoruns. Wszystkie żółte wpisy "not found" widoczne na podanych obrazkach.

 

 

 

.

Odnośnik do komentarza

Dziękuję, odinstalowanie i oczyszczanie zakończyło się powodzeniem.

 

Przeprowadziłem czysty rozruch. Ze stopniowego załączania kolejnych programów, w zakładce Uruchamianie z MSCONFIG.EXE został tylko jeden program - Regedit32, który nie był widoczny jednocześnie w programie Autoruns. Obecnie nie wyskakuje już żadne okno.

 

Dziękuję jeszcze raz za udzieloną pomoc. Mam nadzieję że chociaż w najbliższym czasie nie będzie ona już potrzebna :ph34r:, a jeśli stanie się konieczna to cieszę się że będę wiedział do kogo mogę się o tą pomoc zwrócić ^_^ W podziękowaniu przesyłam małą wpłatę, mając nadzieje że forum dalej będzie się rozwijać. Pozdrawiam.

post-9077-0-92679600-1354897399_thumb.jpg

Odnośnik do komentarza

Na zakończenie jeszcze sobie zaktualizuj Adobe Reader X (10.1.4). Najnowszy to Adobe Reader XI: KLIK.

 

Widzę zainstalowany także Tlen.pl. Program jest martwy i nierozwijany. Polecam zamiennie WTW (obsługuje sieć Gadu i Tlen.pl): KLIK.

 

 

Ze stopniowego załączania kolejnych programów, w zakładce Uruchamianie z MSCONFIG.EXE został tylko jeden program - Regedit32, który nie był widoczny jednocześnie w programie Autoruns. Obecnie nie wyskakuje już żadne okno.

 

Rzeczywiście ten wpis Regedit32 nie był widoczny ani w OTL ani w Autoruns. To jest chyba część cracka do ESET...

 

 

W podziękowaniu przesyłam małą wpłatę, mając nadzieje że forum dalej będzie się rozwijać.

 

Dziękuję.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...