zablokowany komputer - ransomware

[nuno]

Witam,

 

Proszę o pomoc w usunięciu tego badziejstwa.

 

Skany robione w systemie awaryjnym.

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-07-15 13:50:20

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD3200BEVT-22A23T0 rev.01.01A01

Running: 46tomcx0.exe; Driver: C:\Users\laptop\AppData\Local\Temp\awrdapob.sys

 

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 820433C9 1 Byte [06]

.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 8207CD52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI_HAL \Device\00000052 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Udp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

 

 

Sam przeanalizowałem msconfig i otl. Znalazłem tam " HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe ()". Użyłem też Norton Power Eraser, który także wskazał, że coś jest nie tak z tym plikiem. Program usunął plik i komputer już działa normalnie. Mimo wszystko proszę o sprawdzenie bo może coś jeszcze tu siedzi.

 

Pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

Przemilczałeś użycie ComboFix. Na przyszłość: KLIK.

 

Sam przeanalizowałem msconfig i otl. Znalazłem tam " HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe ()". Użyłem też Norton Power Eraser, który także wskazał, że coś jest nie tak z tym plikiem. Program usunął plik i komputer już działa normalnie. Mimo wszystko proszę o sprawdzenie bo może coś jeszcze tu siedzi.

 

No tak, to logi z OTL pochodzą sprzed usuwania? Wpis w logu całkowity, żadnego wybrakowania pliku ... Niezależnie od tego czy to stara postać rzeczy mimo wszystko załączę to na usuwanie, włącznie z całym nadrzędnym folderem numerycznym (nie wystarczy tylko usunąć ten plik punktowany wpisem startowym). I to nie wszystkie elementy infekcji, jest także folder poboczny "hellomoto".

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [WinSyncMetastore] C:\Users\laptop\AppData\Local\Microsoft\Windows\724\WinSyncMetastore.exe ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=9DC85562-D06B-4EE5-AB6E-4354D9062F77&apn_ptnrs=U3&apn_sauid=0D1A26C7-C1F2-4641-B34D-779BD75AB790&apn_dtid=OSJ000YYPL&&q="
IE - HKU\S-1-5-21-670955760-1914794717-2055818537-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541927057530658"
IE - HKU\S-1-5-21-670955760-1914794717-2055818537-1000\..\SearchScopes\{ED371A58-43B3-437C-868E-C2C1206A0C80}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9DC85562-D06B-4EE5-AB6E-4354D9062F77&apn_sauid=0D1A26C7-C1F2-4641-B34D-779BD75AB790"
 
:Files
C:\Users\laptop\AppData\Local\Microsoft\Windows\724
C:\Users\laptop\AppData\Roaming\hellomoto
C:\Users\laptop\AppData\Roaming\Mozilla\Firefox\Profiles\phfwzprq.default\searchplugins\MyStart Search.xml
 
:Services
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, Conduit Engine, DealPly, IncrediMail MediaBar 2 Toolbar.

- Otwórz Firefox i w Dodatkach odmontuj: DealPly, IncrediMail MediaBar 2 Community Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[nuno]

Witam poniownie, logi w załączniku. Co do combofix to nawet nie wiedziałem, że było używane bo brat próbował najpierw naprawić komputer ... z marnym skutkiem :].

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zabrakło loga z wynikami usuwania OTL. Darujmy sobie to już jednak, widać zmiany w nowym skanie OTL.

 

1. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem z artykułu KB2545227.

 

2. Odinstaluj ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\laptop\Desktop\ComboFix.exe /uninstall

 

3. W OTL uruchom Sprzątanie, następnie w w AdwCleaner Uninstall. Przez SHIFT+DEL skasuj z dysku folder C:\Windows\erdnt.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych wykaz wersji wymagających interwencji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)

 

 

 

.