Komputer zostal zablokowany z powodu naruszenia prawa polskiego

[justa1789]

Witam. Mam z tym i jeszcze z innymi wirusami problem. Skierowano mnie z tym do Was. Pomóżcie:/

OTL.Txt

Extras.Txt

FSS.txt

[picasso]

Pokaż link do tematu, skąd Cię skierowano. Patrząc w raporty: rootkit ZeroAccess w starszej wersji (infekuje sterowniki systemowe), ale to wcale nie musi być tu najgorsze ... W modułach załadowane te oto obiekty, które mogą sugerować znacznie poważniejszą infekcję, czyli wirusa Virut (infekuje wszystkie pliki wykonywalne na wszystkich dyskach):

 

========== Modules (No Company Name) ==========
 
MOD - [2012-10-09 14:43:28 | 000,101,920 | ---- | M] () -- C:\WINDOWS\Temp\sE.tmp
MOD - [2012-10-09 14:43:16 | 000,137,728 | ---- | M] () -- C:\WINDOWS\Temp\VRTB.tmp
MOD - [2012-10-09 14:42:56 | 000,037,376 | ---- | M] () -- C:\WINDOWS\Temp\VRT3.tmp

 

Jako uzupełnienie w autoryzacjach zapory procesy systemowe winlogon.exe + svchost.exe (co sugeruje ich infekcję). Jeśli ten wirus zostałby tu zdowodowany, to kierunek otwiera się na format dysku. Poproszę o skan z GMER.

 

 

.

[justa1789]

Na tej stronie byłam

http://forum.pclab.p...

gmer.txt

[picasso]

GMER podaje konkretne szczegóły jaki sterownik systemowy został zainfekowany przez rootkita ZeroAccess (mrxsmb.sys) oraz dowoduje czynnego wirusa Virut (liczne hooki biblioteki ntdll.dll, charakterystyczne dla tej infekcji). System jest bardzo poważnie zainfekowany, są dwie masywne infekcje (ZeroAccess + Virut) i różne poboczne, ale Virut najgorszy. Podejmuj decyzję co robimy: czy staramy się leczyć (to będzie ciężkie i wieloetapowe) czy od razu format całego dysku. Sugeruję format, ponieważ działania mogą tu być nieopłacalne. Uwaga:

 

- Mówimy o formacie całego dysku i wszystkich jego partycji, gdyż wirus atakuje wszystkie miejsca gdzie są pliki wykonywalne. Partycje są tu trzy:

 

Drive C: | 9,77 Gb Total Space | 5,97 Gb Free Space | 61,10% Space Free | Partition Type: NTFS
Drive D: | 32,37 Gb Total Space | 32,31 Gb Free Space | 99,80% Space Free | Partition Type: NTFS
Drive E: | 32,38 Gb Total Space | 29,67 Gb Free Space | 91,63% Space Free | Partition Type: NTFS

 

- Z dysku nie wolno zrobić kopii zapasowej plików wykonywalnych. Rozniosą wirusa po formacie, rozniosą wirusa na inne komputery.

 

Decyzja należy do Ciebie, przedstaw jaki kierunek działań mamy obrać.

 

 

.

[justa1789]

Dobrze, ale mam pytanie. Czy to oznacza że nic nie mogę z niego skopiować??? Nawet takich plików jak zdjęcia?

[picasso]

Zdjęcia są niepewne. Virut może infekować też pliki JPG, DOC, PDF, HTML, RAR, ZIP. Może na początek zróbmy wstępne usuwanie i zobaczymy jakie są widoki. Przeprowadź następujące operacje i dokładnie w tej kolejności:

 

1. Uruchom VirutKiller. Po jednym przebiegu ponów operację. Skaner musi być uruchamiany tyle razy, aż przestanie wykrywać infekcję.

 

2. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie, zatwierdź leczenie, zresetuj system. Na dysku C powstanie log z usuwania.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowe logi z OTL + GMER. Dołącz log z Kasperskiego powstały w punkcie 2.

 

 

.

[justa1789]

Zrobione.

OTL.Txt

TDSSKiller.2.8.10.0_09.10.2012_21.34.28_log.txt

[picasso]

Brakuje raportu z GMER, który miałby potwierdzić czy ustały modyfikacje Virut. TDSSKiller załatwił rootkita ZeroAccess i tu tylko poprawki zostały. W OTL nie widać już Virutowych modułów, ale nadal wyleczenie nie jest tu potwierdzone na 100%. Poza tym, inne infekcje działają (nie tylko UKASH). Kolejna porcja zadań:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-10-09 20:51:57 | 000,194,560 | -HS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\drivers\[Filtr wulgaryzmów]ec.exe -- ([Filtr wulgaryzmów]ec)
SRV - [2012-09-23 19:27:36 | 000,000,115 | -H-- | M] () [Auto | Stopped] -- C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\4q9qpd.bat -- (82cv9eew)
DRV - [2012-10-09 22:01:32 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\mcsysx.sys -- (msfindsrv01)
O4 - HKLM..\Run: [bulirizkonyd] C:\Documents and Settings\All Users\bulirizkonyd.exe ()
O4 - HKLM..\Run: [C:\help\build.exe ] C:\help\build.exe ()
O4 - HKLM..\Run: [intel] C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\Intel.exe ()
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3409\WUDFPlatform.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50032 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msowuuucu.cmd ()
O20 - Winlogon\Notify\moperti: DllName - (C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\moperti.dll) - C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\moperti.dll ()
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={CC3A7E35-A310-4DB0-9EE9-E2BED9F86057}&mid=041e1150060147d0ac56d1681a8f7fc6-be65525dd3460e0600ab3e648315ae4922d85bca&lang=pl&ds=xn011&pr=sa&d=2012-10-07 00:13:32&v=12.1.0.20&sap=dsp&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
 
:Files
C:\help
C:\WINDOWS\$NtUninstallKB38935$
C:\WINDOWS\System32\2n.dll
C:\WINDOWS\System32\a10qh5tz.dll
C:\WINDOWS\System32\a34fz1.dll
C:\WINDOWS\System32\ae2t.dll
C:\WINDOWS\System32\a1.dll
C:\WINDOWS\System32\a6qlpc.dll
C:\WINDOWS\System32\a2yq59.dll
C:\WINDOWS\System32\CleanUp.exe
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\*.exe
C:\Documents and Settings\Ja i nikt inny\uz.dat
C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3409
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\4q9qpd.bat
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\nightupdate
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\xtrclpj11iuebjzdenxybeagfc1mtnf3
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\LocalService\Dane aplikacji\Identities
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\sLT.exf
C:\Program Files\*.exe
C:\Documents and Settings\All Users\AVG Secure Search
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zatwierdź restart komputera.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

4. Zrób nowy log OTL z opcji Skanuj oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[justa1789]

Nie mogę zainstalować fix-it, wyskakuje mi że: "administrator skonfigurował założenia systemowe aby zapobiegały tej instalacji".

 

z punktu 1 -> http://wklej.org/id/844617/

OTL.Txt

gmer.txt

[picasso]

Sprawa z Virutem nie jest rozwiązana do końca, o ile ustały hooki ntdll.dll, to GMER wskazuje na zmodyfikowany explorer.exe:

 

---- User code sections - GMER 1.0.15 ----
 
.reloc  C:\WINDOWS\Explorer.EXE[1436] C:\WINDOWS\Explorer.EXE  section is executable [0x010FB000, 0xA800, 0xE0000060]

 

Trudno też stwierdzić ile plików na dysku jest poszkodowanych ... I niestety nowe infekcje w logu OTL widzialne.

 

1. Uruchom zgodnie ze wskazówkami ComboFix.

 

2. Przedstaw log wynikowy, jaki utworzy.

 

 

 

.

[justa1789]

dopiero teraz zrobiłam.

ComboFix.txt

[picasso]

Sprawa wygląda nie najlepiej. ComboFix tylko potwierdza, że explorer.exe i kilka innych plików jest zainfekowanych (żadnego z nich zresztą nie był w stanie podmienić czystą repliką), ale ComboFix sprawdza tylko wybrane pliki, rzeczywista ilość zainfekowanych bądź uszkodzonych leczeniem plików plików jest nie do określenia.

 

Proponuję format dysku. Ten kierunek naprawczy wybierany jest przeze mnie w podbramkowych sytuacjach. Uważam, że tu nie ma sensu się męczyć, a docelowo Windows może być jednak uszkodzony.

 

 

.

[justa1789]

oki a czy mogę prosić o jakieś wskazówki w jaki sposób mam zrobić te formatowanie, standardowo czy jakoś inaczej?

[picasso]

Chodzi tu o standardowy format wykonany z poziomu płyty podczas instalacji systemu XP. To zaadresuje tylko partycję C. Resztę partycji (D + E) można sformatować z poziomu Mojego komputera już po przeinstalowaniu systemu. Przypominam: nie rób określonych kopii plików z tego dysku, gdyż po formacie odtworzą wirusa.

 

 

 

.

[justa1789]

Dobrze, więc dziękuję bardzo za pomoc. Już jakoś sobie poradzę