Polska Policja Cyberprzestępczość Departament

[mirekk999]

Witam,

Mój komputer został zablokowany.Po podłączeniu do internetu pojawia sie komunikat Polska Polcja Cyberprzestępczość Departament i konieczności zapłaty 200zł. Po restarcie systemu i odłączeniu internetu wszystko działa poprawnie. Jak się pozbyć wirusa?

System Windows Professional SP3 x86

Proszę o pomoc.

 

Results of screen317's Security Check version 0.99.54

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Sophos Anti-Virus

Antivirus out of date!

`````````Anti-malware/Other Utilities Check:`````````

Java 6 Update 15

Java 6 Update 5

Java version out of Date!

Adobe Flash Player 11.2.202.235

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox 15.0.1 Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\mkaras\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\mkaras\Ustawienia lokalne\Dane aplikacji\promo.exe
C:\Documents and Settings\mkaras\Dane aplikacji\PriceGong
 
:OTL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Unknown] -- system32\drivers\UIUSys.sys -- (UIUSys)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware uTorrentBar Toolbar. Otwórz Firefox i w Dodatkach odinstaluj Conduit Engine, uTorrentBar Community Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[mirekk999]

Pomogło. Dziękuję bardzo za pomoc.

Przesyłam plik otl. Nie mogłem uruchomić AdwCleaner - za niski poziom uprawnień. Uruchomiłem Jrt. Program wykonał sie prawidłowo ale nie zapisał raportu.

OTL.Txt

[picasso]

Nie mogłem uruchomić AdwCleaner - za niski poziom uprawnień. Uruchomiłem Jrt. Program wykonał sie prawidłowo ale nie zapisał raportu.

 

Tak, bo konto nie jest administracyjne:

 

Computer Name: 01MKARAS2XPLAP | User Name: mkaras | NOT logged in as Administrator.

 

AdwCleaner i JRT wymagają uprawnień administracyjnych (czyli "Uruchom jako Administrator"). Co do JRT, to też mam wątpliwości czy w ogóle coś robił, choć na dysku są te elementy utworzone:

 

[2012-11-10 23:40:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT
[2012-11-10 23:39:55 | 000,000,000 | ---D | C] -- C:\JRT

 

Wejdź do folderu C:\JRT i sprawdź co tam jest.

 

 

 

.

[mirekk999]

W katalogu C:\JRT zapisało się kilkanaście plików o rozszerzeniach .reg; .dat; .cfg; .bat

Nie jestem wstanie powiedzieć co zawierają. Czy przesłać PrtSc katalogu?

[picasso]

Sprawdziłam ponownie, folder C:\JRT to wyekstraktowane flaki narzędzia i tam nie ma raportu. Brak loga raczej świadczy, że program nie robił tego co było w planie. Od początku: AdwCleaner zastartuj opcją kontekstową "Uruchom jako Administrator", a jeśli to zawiedzie zaloguj się na konto o uprawnieniach administracyjnych i tymczasowo przekształć konto mkaras w administracyjne, tak by z jego poziomu udało się uruchomić aplikacje na takich uprawnieniach.

 

 

 

.

[mirekk999]

Ponownie złapałem tego samego wirusa. Czy mogę użyć ten sam skrypt OTL?

Poniżej załączam nowe pliki. System Windows Professional SP3 x86

Z góry dziękuję za pomoc.

 

Nie jestem wstanie zalogować się na konto administratora - nie mam takich uprawnień.

OTL.Txt

Extras.Txt

[picasso]

Nie jestem wstanie zalogować się na konto administratora - nie mam takich uprawnień.

 

Co to konkretnie oznacza: komputer na którym jesteś tylko jednym z użytkowników i kto inny jest administratorem czy Twoje konto utraciło takie właściwości? Twoje konto nie jest administracyjnym = usuwanie limitowane tylko do sfer Twojego konta.

 

 

Ponownie złapałem tego samego wirusa. Czy mogę użyć ten sam skrypt OTL?

 

Nie. To niepowtarzane operacje, adekwatne tylko i wyłącznie do danego punktu w czasie i wyglądu systemu w raportach. Nie ma żadnych gotowców, za każdym razem analiza jest prowadzona od zera na podstawie nowych danych. I tak oto tu mamy teraz inny wariant infekcji niż poprzednio.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\mkaras\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[mirekk999]

Dziękuję za ponowną pomoc. W załączeniu przesyłam log OTL.

OTL.Txt

[picasso]

Ale ten log jest źle zrobiony... Całkowity brak skanu rejestru, tylko szukanie plików na dysku. Jeszcze raz: wszystkie opcje ustawione na Użyj filtrowania i zrób nowy log, podmień załącznik w poprzednim poście i na PW daj znać o edycji. Pliku Extras nie dawaj mi po raz kolejny.

 

 

.

[mirekk999]

Podmieniłem plik OTL.txt. Wirus nadal blokuje połączenie z internetem.

[picasso]

Skrypt w ogóle się nie wykonał. Powtarzaj:

 

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\mkaras\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przejdź w Tryb normalny Windows. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[mirekk999]

Tym razem sie chyba udało.

OTL.Txt

[picasso]

Infekcja usunięta. Teraz należy wykonać te kroki, ale pewnie część z tego jest awykonalna na koncie nieadministracyjnym (brak uprawnień):

 

1. W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj te foldery utworzone wcześniej przez JRT:

 

C:\JRT

C:\WINDOWS\ERUNT

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie są w systemie wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{90120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()

 

Czyli: odinstaluj wszystkie stare Adobe + Java i zastąp najnowszymi, zaktualizuj Firefox, zainstaluj SP3 dla Office 2007.

 

 

.