Komputer został zablokowany za złamanie prawa polskiego WIRUS

[WiktorGN]

Witam!

 

Dotknął mnie problem ostatnio dość powszechny wśród internautów. Tak, także złamałem prawo polskie, ściągam dziecięcą pornografię oraz przekazuję terrorystom jakieś informacje - normalka. Ze dwa dni temu byłem akurat na stronie jakiegoś kościoła, chciałem pobrać śpiewnik piosenek kościołowych wraz z akordami (hahahahahahahaha), i od razu jak kliknąłem Pobierz - cóż, efekt wiadomy. Wielka plansza nałożona na pulpit w taki sposób, by jedyną możliwością było obejrzenie okienka wywołanego Alt+Ctrl+Delete. Oczywiście się wystraszyłem, kto wie, może Rząd wysyła teraz takiego coś? Ale po chwili zrozumiałem, że to niemożlwe - po pierwsze nic takiego nie mam/nie robię, po drugie - rząd? Serio? Miałby blokować komputer? Proszę... No i po trzecie, to było pobrane ze strony kościoła, co jak co, ale jakieś świętości istnieją i raczej Ci od serwerów nie wrzucili by swoim owieczkom nie samego wirusa, co jakichś terrorystycznych planów.

 

Spróbowałem wyłączyć i włączyć komputer z powrotem, z początku myślałem, że problem rozwiązałem. Naiwny byłem, ale cóż sobie innego pomyśleć jak pulpit spokojnie się załadował, nawet folder włączyłem! I nagle, bez ostrzeżenia, po paru sekundach, znów się pojawiło to okno.

 

No to wszedłem na Tryb Awaryjny, miałem użyć antywirusa, lecz uznałem, że Cofanie systemu coś zdziała. I zdziałało. Ostatni "marker" miałem na dwa dni wstecz, przez dwa dni miałem spokój. Sprawdziłem nawet Malwarebytes (moja Avira nagle ODMóWIŁA posłuszeństwa - nie mogłem włączyć). Nic nie wykryto. Tylko jakieś drobnostki, które powinny zostać dla programów takich jak DVDFab, czy keygen do jednej gry..

 

Teraz ponownie się to pojawiło, po tych dwóch dniach, po okresie, o który wcześniej cofnąłem. Zbieg okoliczności?

Ponownie cofnąłem system, lecz uznałem, że należy przedsięwziąć należyte środki. Tak więc zapoznałem się z WAŻNYMI i piszę. Zgłaszam się ze standardowymi logami oraz logiem z defoggera.

 

Czy mógłbym prosić o skrypt, który by mnie uwolnił od ponownego "złamania polskiego prawa"?

 

Miałem problemy z wrzuceniem załączników, więc z wklejki wrzucę. Tylko nie wiem czy dobrze to zrobiłem

Plik OTL - http://wklej.org/id/810786/

Plik Extra - http://wklej.org/id/810787/

 

 

oraz log z defoggera:

 

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 15:23 on 14/08/2012 (Administrator)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.searchonme.com/"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}"
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=HP_ss&mntrId=880780be000000000000001a4d5cbab4"
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=220512_53all&babsrc=SP_ss&mntrId=880780be000000000000001a4d5cbab4"
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=328427D3-FABC-4C80-8470-185B3741E602&apn_sauid=D38AB2D9-8D92-4699-9CAD-2D627BF00A18"
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}"
O4 - HKLM..\Run: []  File not found
O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\1\Command - "" = I:\Recycle.exe
O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\2\Command - "" = I:\Recycle.exe
O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\bzxxnaqbhwnrmsy
C:\Documents and Settings\All Users\Dane aplikacji\grtecjoofjkedzo
C:\Documents and Settings\All Users\Dane aplikacji\eurxvxct.exe
C:\Documents and Settings\Administrator\0.8628465783476625.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-117609710-448539723-725345543-500\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar /Ask Toolbar Updater / Babylon toolbar on IE / DVDVideoSoftTB Toolbar / Softonic-Eng7 Toolbar oraz Spybot - Search & Destroy (program przestarzały)

 

Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / ST-Eng7 Community Toolbar / uTorrentControl2 Community Toolbar / DVDVideoSoftTB Community Toolbar / Conduit Engine

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK.

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[WiktorGN]

Witam!

Dziękuję za taką szybką odpowiedź.

Wykonałem punkt pierwszy. Gwoli ścisłości nadsyłam raport po wykonaniu Skryptu - http://wklej.org/id/811394/

Wykonałem punkt drugi, choc nie obyło się bez pewnych wątpliwości.

Wykonałem punkt trzeci. Gwoli ścisłości nadsyłam raport po wykonaniu roboty - http://wklej.org/id/811422/

Nie mogę sobie poradzic z punktem 4. Otóż pobrałem z KLIKowego linku instalatora, zaakceptowałem Regulamin, po chwili ładowania wyskoczyło okienko, że dla dalszych konfiguracji będzie można dokonac po zrestartowaniu komputera. Kliknąłem OK, załadował się ponownie system i... nie wiem co dalej. Nie pojawiło nic prócz okienka z błędem graficznym VPU. Próbowałem znaleźc jakieś pliki, może program już jest, pomyślałem. Jedyne co odnalazłem to w folderze plików tymczasowych trzy notatniki, dla każdego systemu Vista_2008, Win7 oraz XP_2003.

Plik XP miał następującą treśc:

 

# Copyright © 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

 

127.0.0.1 localhost

 

 

Co muszę zrobic by dokończyc proces instalacji? Chyba, że to już jest koniec...

[Landuss]

Nie dałeś nowego loga z OTL ze skanowania więc nie wiem czy wszystko się poprawnie wykonało. Wykonaj go i załącz na forum.

[WiktorGN]

Witam.

 

Nie załączając logów z OTL podążałem wytycznymi ustalonymi przez Administrator, zawartymi w 4 punkcie (3 podpunkcie, drugiej kropce). Myślałem, że skoro pewnie istota procesu jest Wam znana to sam jej przebieg zostanie mi wyjaśniony, jeśli faktycznie coś źle zrobiłem

Tak więc załączam log ze skanowania OTL - http://wklej.org/id/812373/

 

Pozdrawiam.

[Landuss]

Według loga infekcja usunięta, hosts też zresetowany pomyślnie. Pozostaje ci wykonać czynności kończące:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish

"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[WiktorGN]

Wykonałem tak jak należy z tym małym błędem, że po Sprzątaniu i po zresetowaniu komputera, gdy się zalogowałem, straciłem kontakt na linii monitor-komputer. Tak jakby był odłączony i nie miał co wyświetlać. Lecz po zresetowaniu i uruchomieniu ponownie było już dobrze.

Ale nastąpiła - nie wiem jak to nazwać inaczej - autodestrukcja. Z mojego komputera zniknął OTL (zostawiając tylko dwa pliki w folderze C:/Windows/Prefetch) oraz defogger (którego pobrałem na nowo i już włączyłem odpowiednie drivery). Nie wiem jak to wytłumaczyć, mam więc nadzieję, iż nie oznacza to jakiegoś błędu.

 

Dziękuję za okazaną mi pomoc

 

 

Pozdrawiam!

[picasso]

Z mojego komputera zniknął OTL (zostawiając tylko dwa pliki w folderze C:/Windows/Prefetch) oraz defogger (którego pobrałem na nowo i już włączyłem odpowiednie drivery). Nie wiem jak to wytłumaczyć, mam więc nadzieję, iż nie oznacza to jakiegoś błędu.

 

Ależ ... do tego właśnie służy opcja Sprzątanie. Jej celem jest usunięcie z systemu wszystkich typowych narzędzi użytych w diagnostyce, bo i tak nie ma po co ich chomikować (narzędzia należy pobierać za każdym razem na nowo = są stanowczo zbyt często aktualizowane).

 

 

.

[WiktorGN]

Rozumiem, dziękuję

[WiktorGN]

Witam!

 

Jeżeli tytuł niewiele mówi, to tylko dlatego, że w istocie nie mam zielonego pojęcia jak to nazwać. Użyłem nazw, które zapamiętałem.

Już tu byłem w sprawie Ukasha, jesteście warci tych restartów komputera związanymi z kolejnymi krokami.

Opis problemu, jak zauważyłem - grałem w grę, tam mnie co chwila wyrzucało (Punkbuster) za jakiś program, niekompatybilny. To było coś nowego, bo zawsze podczas gry miałem wszystko w najlepszym porządku. Jeden z współgraczy zaproponował uruchomić ponownie system. Pragnę nadmienić, iż w mojej Avirze mam włączoną opcję Realtime Protection. Od razu, gdy system się załadował, wspomniany Realtime Protection wykrył jakieś dwa pliki, 2 files detected. Kliknąłem Remove, lecz zamiast "usunąć" te dwa pliki, zaczął wszystko mi skanować. Może to był mój błąd, może nie, lecz po chwili włączyłem także Szybkie skanowanie w MalwareBytes. Oto, co mi MB zlogował:

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Wersja bazy: v2012.09.06.07

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrator :: GNIADEK-EE71E1B [administrator]

 

2012-09-06 14:53:29

mbam-log-2012-09-06 (15-08-47).txt

 

Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 213587

Upłynęło: 13 minut(y), 33 sekund(y)

 

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

 

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

 

Wykrytych wartości rejestru: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{0E306EF4-1776-AD7D-F95F-0917C2612A05} (Trojan.Inject) -> Data: "C:\Documents and Settings\Administrator\Dane aplikacji\Cizyi\amokwy.exe" -> Nie wykonano akcji.

 

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

 

wykrytych folderów: 1

C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto (Trojan.Ransom.FGen) -> Nie wykonano akcji.

 

Wykrytych plików: 3

C:\Documents and Settings\Administrator\Dane aplikacji\Cizyi\amokwy.exe (Trojan.Inject) -> Nie wykonano akcji.

C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Nie wykonano akcji.

C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Nie wykonano akcji.

 

(zakończone)

 

 

Po szybkim google'owaniu zobaczyłem, że hellomoto ma coś wspólnego z owym sławetnym Ukashe. Wszystkie usunąłem, także poprzez MB.

Uspokoiłem się, jakbym zabił jakiegoś wielkiego robala. Lecz nie na długo - uznałem, że wirusy są sprytniejsze jak na takie proste rozwiązania, więc boję się, że to tylko chwilowa poprawa. Postanowiłem pobrać ponownie Defoggera, OTL, i oto jestem.

Zamieszczę log z defoggera:

 

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 15:20 on 06/09/2012 (Administrator)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

 

 

-=E.O.F=-

 

Do tego dołączam logi:

 

OTL - http://wklej.org/id/824847/

Extras - http://wklej.org/id/824849/

 

 

Czy mógłbym prosić o sprawdzenia logów? Moją główną obawą jest to hellomoto - coś, co mogło wrócić z Ukasha, co już rzekomo zostało naprawione...Czyżby?

Nie kwestionuję Waszej nieomylności, lecz w koncu mogłem coś pobrać po raz kolejny, zwłaszcza, że ostatnio pobierałem - i ryzykowałem - stare gierki, albo takie amatorskie jak Slender, i kto wie, może w którymś z tych plików coś się ukryło?

 

Przepraszam za kłopot i za zabrany czas, jeżeli okaże się, że wszystko jest w porządku, i jeszcze raz proszę o pomoc.

 

 

Pozdrawiam!

[picasso]

Temat sklejam z poprzednim.

 

Wszystko co wykrył MBAM jest szkodliwe. O ile hellomoto (szczątek poboczny UKASH) to stara niedoczyszczona sprawa (to rzeczywiście było w poprzednich logach), to Cizyi jest nowością, świeżo utworzony dziś:

 

[2012-09-06 14:59:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Cizyi

 

Poza tym, znów zabrudziłeś i widać adware w preferencjach Firefox...

 

 

1. Doczyść po niepełnej deinstalacji ESET. Z poziomu Trybu awaryjnego Windows zastosuj narzędzie ESET Uninstaller.

 

2. Przejdź w Tryb normalny Windows i odinstaluj YourFileDownloader (ten obiekt chodzi w paczkach adware / instalowany np. z Babylon).

 

3. Zresetuj preferencje Firefox. Zamknij przeglądarkę. Usuń poniższy plik:

 

C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ehvuo97a.default\prefs.js

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Dane aplikacji\Cizyi
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ehvuo97a.default\searchplugins\askcom.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ehvuo97a.default\searchplugins\conduit.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ehvuo97a.default\searchplugins\SearchOnMe.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ehvuo97a.default\searchplugins\winamp-search.xml
C:\Documents and Settings\LocalService\Dane aplikacji\qcopjv.dat
C:\Documents and Settings\NetworkService\Dane aplikacji\qcopjv.dat
 
:OTL
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL.

 

 

 

.

Edytowane 4 Października 2012 przez picasso
4.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso