THE FBI FEDERAL BUREAU OF INVESTIGATION

[krzysiek87]

Proszę o pomoc, podobny temat już był, a więc: wyskakuje stronka (w języku angielskim) tylko podczas połączenia z netem, na stronce; podgląd z kamerki, moje ip, lokalizacja "prośba" o zapłacenie 100 $.

OTL.Txt

Extras.Txt

[picasso]

Wygląda na to, że to jakiś nieźle pocięty / tweakowany na poziomie źródła płyty Windows, masa usług wyszczerbiona:

 

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\cisvc.exe -- (CiSvc)

 

Niedokładnie ktoś to robił i oto błędy w Dzienniku zdarzeń:

 

Error - 2012-07-19 06:48:47 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi helpsvc z powodu następującego błędu:   %%2
 
Error - 2012-07-19 06:48:47 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi wscsvc z powodu następującego błędu:   %%1083

 

GMER nie przeszedł, bo nie wykonałeś ogłoszenia (KLIK), pracuje w tle ofensywny sterownik SPTD od emulatora napędów wirtualnych:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (afrcdozx)
DRV - [2012-07-19 13:04:50 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Pobierałeś ESET Necurs Remover = dlaczego? Proszę nie sugerować się innymi tematami, w których jest złożenie infekcji.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\D & S\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\D & S\All Users\Dane aplikacji\pmt_0piot.pad
C:\D & S\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\msaozczz.default\searchplugins\daemon-search.xml
C:\D & S\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\msaozczz.default\searchplugins\startsear.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{3577365A-A0AB-43F2-B2AE-55342C864E62}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{3577365A-A0AB-43F2-B2AE-55342C864E62}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
"Start"=dword:00000004
 
:OTL
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=1ad26816-ba3d-11e1-a252-001966dbdf8d"
IE - HKU\S-1-5-21-776561741-57989841-1801674531-500\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-776561741-57989841-1801674531-500\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch={searchReason}"
IE - HKU\S-1-5-21-776561741-57989841-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=1ad26816-ba3d-11e1-a252-001966dbdf8d&q={searchTerms}"
IE - HKU\S-1-5-21-776561741-57989841-1801674531-500\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-57989841-1801674531-500\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[krzysiek87]

Log z OTL I GMER'a zrobiłem, (usunąłem SPTD), jednak początkowy log z OTL z wynikami usuwania jest za duży, skompresowałem i też nic, niemoge wysłać, to samo z logiem z GMER'a. Przesyłam końcowy.

OTL.Txt

[picasso]

jednak początkowy log z OTL z wynikami usuwania jest za duży, skompresowałem i też nic, niemoge wysłać, to samo z logiem z GMER'a.

 

Nic podobnego, log z usuwania to najmniejszy log z tu wyprodukowanych. W Pomocy forum (oraz w zasadach działu) jest napisane, że załączniki przyjmują tylko rozszerzenie *.TXT. A te dwa raporty to *.LOG, dlatego jest "błąd braku uprawnień". Ręcznie należy zmienić nazwę pliku. Uzupełnij brakujące ogniwa.

 

 

 

.

[krzysiek87]

Dziękuje za wskazówke, dołączam logi.

gmer.txt

OTL.Txt

[picasso]

Skrypt niby wykonany (usuwał infekcję), tylko że ta infekcja nadal działa ... Powtórka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\D & S\All Users\Dane aplikacji\pmt_0piot.pad
C:\D & S\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

 

[krzysiek87]

Proszę.

OTL.Txt

otl.txt.txt

[picasso]

Bez zmian. OTL w kółko usuwa, a to w kółko wraca. To pierwszy przypadek na forum tego rodzaju, u innych wystarczyło jedno podejście (max dwa = usuwanie skrótu ctfmon.lnk po raz drugi, ale był już martwy). Tu musi się dziać coś dodatkowego. Jakie strony wizytujesz w międzyczasie? Ta infekcja ma przyczynę w przestarzałej Java: KLIK.

 

1. Przez Panel sterowania odinstaluj Java™ 7 Update 2.

 

2. Przejdź w Tryb awaryjny Windows i w OTL zapuść skrypt o postaci:

 

:Files
C:\D & S\All Users\Dane aplikacji\pmt_0piot.pad
C:\D & S\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
rd /s /q C:\TMP /C

 

3. Restart do Trybu normalnego i nowy log OTL z opcji Skanuj.

 

 

 

.

[krzysiek87]

Internet mam odłączony.Skrypty przenoszę za pomocą pendrive'a może to w nim problem ? chociaż oprócz muzyki nic więcej tam niema.

Nowy dokument tekstowy.txt

otl2.txt

[picasso]

Pendrive = wątpliwe. Ale tym razem operacja ukończona pomyślnie. Aktualnie w logu z OTL czysto, zniknęły wszystkie obiekty infekcji. Przejdź do zakończeń:

 

1. Odinstaluj vShare Plugin (nośnik adware). Uruchom AdwCleaner i zastosuj Delete. Po tym w narzędziu Uninstall.

 

2. Mini poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
 
:Files
rd /s /q "C:\D & S\Administrator\DoctorWeb" /C

 

Klik w Wykonaj skrypt. Następnie w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dodatkowe aktualizacje (poza Java): KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox / Opera)
"Opera 11.62.1347" = Opera 11.62

 

 

PS. I sugeruję coś zrobić z Gadu-Gadu 10, program dręczy zasoby. Alternatywne lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

.

[krzysiek87]

Jesteś kochana, dziękuję za pomoc.