Skocz do zawartości

Komputer zablokowany - POLICJA. Czyli kolejna ofiara cudaka.


Rekomendowane odpowiedzi

Witam serdecznie.

 

Zwracam się z prośbą o pomoc w usunięciu tego cholerstwa. Nie wiem kiedy, ani jak go złapałem, ale mam tego cudaka. W chwili pisania tego tematu korzystałem z trybu awaryjnego z obsługą sieci. Ten tryb działa poprawnie ( przynajmniej tak mi się wydaje ). Proszę o łopatologiczne wskazówki, co i jak zrobić aby się go pozbyć.

 

Logi w załączniku

 

Wczoraj po zrobieniu w/w logów przeskanowałem system Malwarebytes oraz antywirusem jaki mam zainstalowany. Malware znalazł 3 zagrożenia ( niestety log nie zapisał się ), ZoneAlarm znalazł też jakieś zagrożenie ( też nie mam loga ). W żadnym przypadku nie usuwałem znalezionych zagrożeń ( zamknąłem ZoneAlarm i Malwarebytes ). Dziś komputer uruchomiłem normalnie, tzn blokady nie ma, a Malwarebytes znajduje już tylko 1 zagrożenie w ścieżce: C:\Dokument and Seetings\All Users\Dane aplikacji\lsass.exe

Extras.Txt

OTL.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Masz też niedokładnie usunięty OnlineArmor i inne programy zabezpieczające.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Admin\Dane aplikacji\ArcaVirMicroScan
C:\Documents and Settings\Admin\Dane aplikacji\OnlineArmor
C:\Documents and Settings\Admin\Dane aplikacji\Panda Security
C:\Documents and Settings\Admin\Dane aplikacji\QFX Software
C:\Documents and Settings\Admin\Dane aplikacji\QuickScan
C:\Documents and Settings\Admin\Dane aplikacji\Returnil
C:\Documents and Settings\Admin\Dane aplikacji\SurfSecret Privacy Suite
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\Hitman Pro
C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
C:\Documents and Settings\All Users\Dane aplikacji\OnlineArmor
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
C:\Documents and Settings\All Users\Dane aplikacji\Privacyware
C:\Documents and Settings\All Users\Dane aplikacji\QFX Software
C:\Documents and Settings\All Users\Dane aplikacji\Returnil
C:\Documents and Settings\NetworkService\Dane aplikacji\QuickScan
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Online Armor\oasrv.exe -- (SvcOnlineArmor)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Privacyware\Privatefirewall 7.0\pfsvc.exe -- (PFNet)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Online Armor\OAcat.exe -- (OAcat)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pwipf6.sys -- (pwipf6)
DRV - [2012-09-13 21:26:02 | 000,031,912 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAnet.sys -- (OAnet)
DRV - [2012-09-13 21:24:47 | 000,027,632 | ---- | M] (Emsisoft) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OAmon.sys -- (OAmon)
DRV - [2012-09-13 21:24:27 | 000,044,592 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\oahlp32.sys -- (oahlpXX)
DRV - [2012-09-13 21:24:17 | 000,208,312 | ---- | M] () [File_System | System | Stopped] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza

Nie wykonał się tylko spód skryptu.

 

1. Te dwa sterowniki OnlineArmor nie puściły:

 

DRV - [2012-09-13 21:24:27 | 000,044,592 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\oahlp32.sys -- (oahlpXX)

DRV - [2012-09-13 21:24:17 | 000,208,312 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice)

 

Uruchom Autoruns i w karcie Drivers odptaszkuj oahlpXX + OADevice. Zresetuj system. Jeśli nie będzie problemu, usuń te dwie usługi via Autoruns + ręcznie dokasuj powiązane pliki z dysku.

 

2. Poprawkowy skrypt. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
:Files
C:\WINDOWS\System32\drivers\hitmanpro35.sys
C:\WINDOWS\System32\drivers\sfi.dat
C:\Documents and Settings\All Users\Dane aplikacji\1319727294.bdinstall.bin
C:\Documents and Settings\All Users\Dane aplikacji\1319716643.bdinstall.bin
C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin
C:\Documents and Settings\Admin\Dane aplikacji\Immunet
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po restarcie w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj poniżej wyliczone: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> doinstaluj pakiet SP3

"Opera 12.02.1578" = Opera 12.02

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

 

 

 

.

Odnośnik do komentarza

1. Odptaszkowałem pliki, zresetowałem system. Restart przebiegł bez problemu. Mam teraz te pliki jakie odptaszkowałem wywalić z dysku ręcznie?

2. Wykonane. Zamieszczam loga do postu, gdyż dostaję informacje, że nie mam uprawnień do wysyłania tego typu plików.

3. Wyczyszczone

4. Adobe Reader zwracał informacje, że jest aktualny - pozostałe wykonane ( chyba poprawnie ).

5. Czy można w przyszłości w jakiś sposób uniknąć wizyty polcyjnego gościa?

 

Log z OTL po wykonaniu skryptu:

 

All processes killed

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page not found.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully.

========== FILES ==========

C:\WINDOWS\System32\drivers\hitmanpro35.sys moved successfully.

C:\WINDOWS\System32\drivers\sfi.dat moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\1319727294.bdinstall.bin moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\1319716643.bdinstall.bin moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin moved successfully.

C:\Documents and Settings\Admin\Dane aplikacji\Immunet folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Admin

->Temp folder emptied: 93737181 bytes

->Temporary Internet Files folder emptied: 33707799 bytes

->Java cache emptied: 5445426 bytes

->FireFox cache emptied: 80338639 bytes

->Opera cache emptied: 3035293 bytes

->Flash cache emptied: 10741 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 2103208 bytes

->Temporary Internet Files folder emptied: 44447 bytes

 

User: NetworkService

->Temp folder emptied: 2039656 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 11402255 bytes

RecycleBin emptied: 2201714325 bytes

 

Total Files Cleaned = 2 321,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 11092012_075432

 

Files\Folders moved on Reboot...

C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\~DF5A54.tmp moved successfully.

File\Folder C:\WINDOWS\temp\ZLT02376.TMP not found!

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

Odnośnik do komentarza
1. Odptaszkowałem pliki, zresetowałem system. Restart przebiegł bez problemu. Mam teraz te pliki jakie odptaszkowałem wywalić z dysku ręczn

 

Tak jak mówiłam: "Jeśli nie będzie problemu, usuń te dwie usługi via Autoruns + ręcznie dokasuj powiązane pliki z dysku".

 

 

2. Wykonane. Zamieszczam loga do postu, gdyż dostaję informacje, że nie mam uprawnień do wysyłania tego typu plików.

 

Tak długo na forum a Pomocy nie przeczytałeś? :P Załączniki dopuszczają tylko *.TXT, a Ty próbujesz wstawiać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku.

 

 

4. Adobe Reader zwracał informacje, że jest aktualny - pozostałe wykonane ( chyba poprawnie ).

 

Posiadasz Adobe Reader X, a najnowszy to wersja XI. Widocznie metoda aktualizacji nakładkowej nie wchodzi tu w grę (tak się dzieje czasem przy zbyt dużym przeskoku wersji) i należy tę wersję zainstalować na czysto.

 

 

5. Czy można w przyszłości w jakiś sposób uniknąć wizyty polcyjnego gościa?

 

Do wglądu temat: KLIK. Piaskownica jest tu pewną metodą, infekcja nie wykona się w sposób rzeczywisty.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...