Problem "Komputer został zablokowany z powodu naruszenia prawa polskiego"

[dandanio]

Jak widzę nie tylko ja wpadłem w ręce tego wirusa.

Proszę o pomoc.

OTL.Txt

[dandanio]

Problem rozwiązany, użyłem

"Malwarebytes Anti-Malware"

Temat do zamknięcia.

[picasso]

Nic z tego, i to nie jest kompletna procedura zamykająca czyszczenie. Proszę pokazać: raport z Malwarebytes + nowe logi z OTL (tym razem kompletne = brakuje pliku Extras = opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

[dandanio]

Rozumiem, na pewno wiecie więcej niż ja, dziękuje.

Poniżej raporty z OTL, i dwa z Malwarebytes dzisiejszy i sobotni ( wtedy skasował Trojan'y ).

Extras.Txt

OTL.Txt

mbam-log-2012-07-14 (23-09-13).txt

mbam-log-2012-07-16 (11-59-32).txt

[picasso]

MBAM kasował owszem wpis tej infekcji, ale jeszcze trzeba wyrzucić foldery nadrzędne, a poza tym widać stare niedoczyszczone dobrze ślady rootkita ZeroAccess i adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180
C:\Users\Iwona\AppData\Roaming\hellomoto
C:\Users\Iwona\AppData\Local\20c430ed
C:\ProgramData\036DFF8E004F1256C3BAA5FAC2E33E28
C:\Users\Iwona\AppData\Roaming\Mozilla\Firefox\Profiles\j6a67a1j.default\searchplugins\daemon-search.xml
C:\Windows\is-43IUL.exe
 
:OTL
FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q=" 
FF - user.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - user.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q="
IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.gigabase.ru/search?q={searchTerms}&clid=1"
IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-2349202881-3571706006-1256221723-1006\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searcchTerms}&clid=1"
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6E476704-6F33-4703-9430-B0B4AACB668E}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware i zbędników:

- Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar. Przy okazji odinstaluj archaiczny program Spybot Search & Destroy.

- W Firefox w Dodatkach odmontuj DAEMON Tools Toolbar. W Google Chrome w Rozszerzeniach odmontuj vShare (nośnik adware).

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[dandanio]

Zrobiłem to co zostało mi napisane.

SpyBot nie, można jaśniej ?

 

Nie wiem dlaczego ale nie mogę tego wrzucić jako plik.

 

 

All processes killed

========== FILES ==========

C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180 folder moved successfully.

C:\Users\Iwona\AppData\Roaming\hellomoto folder moved successfully.

C:\Users\Iwona\AppData\Local\20c430ed\U folder moved successfully.

C:\Users\Iwona\AppData\Local\20c430ed folder moved successfully.

C:\ProgramData\036DFF8E004F1256C3BAA5FAC2E33E28 folder moved successfully.

C:\Users\Iwona\AppData\Roaming\Mozilla\Firefox\Profiles\j6a67a1j.default\searchplugins\daemon-search.xml moved successfully.

C:\Windows\is-43IUL.exe moved successfully.

========== OTL ==========

Prefs.js: "http://www.gigabase.ru/search?clid=1&q=" removed from browser.search.defaulturl

Prefs.js: "http://www.gigabase.ru/search?clid=1&q=" removed from keyword.URL

C:\Users\Iwona\AppData\Roaming\Mozilla\FireFox\Profiles\j6a67a1j.default\user.js moved successfully.

Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}\ not found.

Registry key HKEY_USERS\S-1-5-21-2349202881-3571706006-1256221723-1006\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{6E476704-6F33-4703-9430-B0B4AACB668E}" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Iwona

->Temp folder emptied: 19939467 bytes

->Temporary Internet Files folder emptied: 5467508 bytes

->Java cache emptied: 26053424 bytes

->FireFox cache emptied: 49640386 bytes

->Google Chrome cache emptied: 121929337 bytes

->Flash cache emptied: 19888 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 332654 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 8489273 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 221,00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 07162012_142839

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot.

 

PendingFileRenameOperations files...

[2012-07-16 14:30:51 | 008,405,015 | ---- | M] () C:\Windows\temp\hlktmp : Unable to obtain MD5

 

Registry entries deleted on Reboot...

AdwCleanerS1.txt

OTL.Txt

[picasso]

Tylko log z usuwania AdwCleaner ważny, odcinam ten z wyszukiwania, dane są powielone.

 

 

Nie wiem dlaczego ale nie mogę tego wrzucić jako plik.

 

Zasady działu + Pomoc forum wyjaniają, że załączniki akceptują tylko rozszerzenie *.TXT. Tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku.

 

 

SpyBot nie, można jaśniej ?

 

Wydawało mi się, że użycie słowa "archaiczny" wyjaśnia wszystko. Spybot to przestarzały program, którego skuteczność i self-defence w dniu dzisiejszym są słabe. Program nie jest zdolny dedykować nowoczesnych zagrożeń, nie ma mechanizmów ochronnych, pracuje na poziomie user mode (nie ma sterownika) i nie widzi zagrożeń wyższego poziomu. Zaś jego osłona przeglądarek jest redukowana tylko do Internet Explorer. Jego trzymanie na dysku to ułuda.

 

 

---

Zadania pomyślnie wykonane. Przejdź do tej porcji zadań:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w posiadanym Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[dandanio]

Witam

Zrobiłem tak jak było to opisane, malwarebyte anti malware nic nowego na laptopie nie wykrył, więc czysto.

 

Dziękuje.

 

 

Teraz coś stacjonarny złapał, Przeskanowanie ESET za dużo nie zmieniło, wyrzucił jeden, ale ten dalej siedzi.

|| Win64/Patched.A.Gen koń trojański ||

Extras.Txt

OTL.Txt

[picasso]

Laptop

 

Pełne zamknięcie sprawy nastąpi dopiero po wykonaniu obowiązkowych aktualizacji: KLIK. Raport wykazuje krytyczny poziom aktualizacji (brak SP1+SP2 i łat następujących po nich) i kolekcję staroci (to m.in. przedatowana Java umożliwia infekcję UKASH):

 

Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18904)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java™ 7 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF)
"FileZilla Client" = FileZilla Client 3.5.1
"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> brak pakietu SP3
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089

 

 

 

---

Stacjonarny

 

Jest tu trojan ZeroAccess, którego aktywność m.in. objawiona modułami przekierowań Winsock (i masowym "not found" w Winsock). Trojan ten niszczy w rejestrze cały układ wewnętrznych zabezpieczeń, zostaje skasowana Zapora, Centrum zabezpieczeń i Windows Defender.

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system dla zawierdzenia akcji.

 

2. Reset Winsock: KLIK. Z artykułu wykonaj: reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import stosownego pliku REG. Zresetuj system.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look.

 

 

 

.

[dandanio]

Laptop już się aktualizuje.

 

 

Stacjonarny:

Nowy komunikat wyskoczył

Win32/Sirefef.EZ koń trojański.

FSS.txt

OTL.Txt

SystemLook.txt

[picasso]

Narzędzie SFC pomyślnie przywróciło prawidłową postać pliku services.exe, plik wyleczony. Winsock również zresetowany. To co wykrył ESET to już poboczny plik infekcji i całkowicie do usunięcia. Farbar Service Scanner nie wykazuje tu naruszeń usług, ale to pewnie dlatego, że uruchamiałeś ComboFix wcześniej, a on m.in. rekonstruuje te usługi. Z tego wszystkiego wynika, że możemy już przejść niejako do zakończeń:

 

1. W Dzienniku zdarzeń błąd WMI numer 10. Napraw narzędziem z KB2545227.

 

2. Przeprowadź deinstalacje w Panelu sterowania: Spybot - Search & Destroy (przestarzały program, przy ESET Smart Security zbędny) + Akamai NetSession Interface (zbędny).

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\ComboFix.exe /uninstall

 

Przez SHIFT+DEL skasuj foldery C:\_OTL (uruchamiałeś jakiś skrypt do OTL...) + C:\Windows\erdnt.

 

4. Aktualizacje do wykonania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416029FF}" = Java™ 6 Update 29 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wersja dla 64-bitowego IE)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla 32-bitowego IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3
"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

(zauważ, że Java 32-bit z linii 6 jest najnowsza, ale nie punktowana tu Java 64-bit)

 

5. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

PS. Uwaga poboczna. Na obu kompach jest Gadu-Gadu 10. Program dręczy zasoby i dręczy reklamami. Sugeruję alternatywny program z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

.

[dandanio]

Wciąż mi wyskakuje komunikat z desktop.ini

[picasso]

To skasuj inną metodą, skoro ESET nie potrafi.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\GAC_64\desktop.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania z punktu 1.

 

 

.

[dandanio]

Dziwne, ale nie usunął go.

[picasso]

Miałeś podać log z wynikami usuwania OTL a nie nowy log z opcji Skanuj. Usuwam go, bo jest zbędny. To co się dzieje nie ma oznak w skanie.

 

Dziwne, ale nie usunął go.

 

1. Wyłącz osłony ESET.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\GAC_64\desktop.ini

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes

killallprocesses
 
:Files
C:\Windows\assembly\GAC_32\desktop.ini
C:\Windows\assembly\GAC_64\desktop.ini

 

Klik w Wykonaj skrypt. System będzie restartował. Po tym w OTL uruchom Sprzątanie.

 

4. Włącz osłony ESET.

 

 

 

.

[dandanio]

Nie miałem czasu odpisać, ale już po kłopocie dzięki Tobie.