Komputer zablokowany przez departament cyberprzestępczości

[meerkatka]

Witam

mam problem z wirusem weelsof załączam pliki z programu OTL:

proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

1. To już drugi dziś analizowany system, który ma ogromną ilość nieznanych plików tego typu:

 

[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.v
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.u
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.s
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.r
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.q
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.p
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.o
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.n
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.m
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.l
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.k
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.j
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.i
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.h
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.g
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.fs
[2012-11-09 20:31:42 | 000,000,000 | ---- | M] () -- C:\t75g.fr
 
etc...

 

Przenieś je na inny dysk do jakiegoś osobnego katalogu, a jeśli nie będą się odtwarzać podobne na dysku C, usuń je całkowicie.

 

2. Druga sprawa: przemilczane sprawy, ukryte uruchomienie ComboFix. Na temat uruchamiania tej aplikacji: KLIK. Nie został przedstawiony log z tamtego działania, mimo że zasady działu wyraźnie o tym mówią, skoro nieszczęśliwie ComboFix już uruchomiono. W logach z OTL brak oznak infekcji. Wnioski: usuwał to ComboFix. Ale log nie przedstawiony. Jeśli nadal jest na dysku, zaprezentuj (nie uruchamiaj narzędzia ponownie!)

 

 

.

[meerkatka]

Próbowałam się ratować jakoś sama.

 

Poniżej log z ComboFIxa.

ComboFix.txt

[picasso]

Tak, ComboFix usuwał tę infekcję, i nawet nieznacznie ruszył te podejrzane pliki, które zakreśliłam, ale tylko nieznacznie. Czyli zostały wykończenia:

 

1. Wszystkie podejrzane pliki, które kazałam przenieś w inne miejsce, skasuj permanentnie z dysku przez SHIFT+DEL.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Zuzia\Desktop\ComboFix.exe /uninstall

 

3. Odinstaluj starsze wyliczone poniżej aplikacje Adobe i Java, zastąp najnowszymi wersjami: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)

 

 

PS. Widzę też zainstalowane Gadu-Gadu 10. Jest to program zasobożerny i tak oblepiony reklamami, że używanie graniczy z cudem. Obejrzyj alternatywne programy obsługujące Gadu: WTW, AQQ, Kadu, Miranda. Opisy: KLIK.

 

 

.

[meerkatka]

Witam

 

dziękuję za informacje dot. pomocy. Jednak wczoraj zrobiłam formatowanie dysku C, ale znowu muszę prosić o pomoc, ponieważ dzisiaj po uruchomieniu komputera znowu dopadł mnie komunikat o departamencie cyberprzestępczości.

Tym razem zrobiłam tylko skanowanie OTL, proszę o pomoc i dalsze wskazówki co robić aby się pozbyć tego komunikatu oraz jakoś zabezpezpieczyć przed kolejnym atakiem.

OTL.Txt

Extras.Txt

[picasso]

Jednak wczoraj zrobiłam formatowanie dysku C, ale znowu muszę prosić o pomoc, ponieważ dzisiaj po uruchomieniu komputera znowu dopadł mnie komunikat o departamencie cyberprzestępczości.

 

Jaki był powód formatu? System po formacie, a już strasznie zabrudzony, nie tylko infekcja, ale i adware (i to już Twoja nieuwaga w instalacjach, nie odznaczone obiekty sponsoringowe). A infekcja weszła pewnie w taki sam sposób jak poprzednio: odwiedzona określona zainfekowana witryna. Dyskusja na temat tej infekcji: KLIK.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Zuzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Windows\SysWow64\Extensions
C:\Windows\SysWow64\searchplugins
C:\Users\Zuzia\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\Zuzia\AppData\Local\funmoods.crx
 
:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzzztCzz0AyDtA0C0BzyzytN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=610527225"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_8&babsrc=SP_ss&mntrId=ec2dcb99000000000000742f68818a53"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-11-12 08:50:01 | 000,000,000 | ---D | M]
 
:Services
Browser Manager
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Funmoods.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[meerkatka]

Bardzo dziękuję.

załączam pliki po wskazanych skanowaniach.

Formatowanie było błędem ale myślałam że to coś zaradzi gdyż wczoraj miałam trochę pracy na komputerze i myślałam, że to rozwiąże problem no ale niestety.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Kierowałam Cię wyraźnie do opisu AwdCleaner na forum z linkami do strony domowej. Użyłaś starą wadliwą wersję pobraną z innego pośredniego serwisu:

 

# AdwCleaner v2.005 - Logfile created 11/12/2012 at 10:25:28

# Running from : D:\Download\AdwCleaner_www.INSTALKI.pl.exe

 

Najnowsza wersja to 2.007 i ma to duże znaczenie (nowe definicje, poprawione błędy). Takie programy pobiera się tylko ze stron autoryzowanych przez autora, nie z Instalek. Wersja 2.005 uszkodziła też domyślny Bing w 64-bitowym Internet Explorer i będę musiała to ręcznie odtworzyć. Pobierz z linków wskazanych na forum najnowszą wersję AdwCleaner, uruchom i przedstaw z niej log.

 

 

.

[meerkatka]

właściwy log

AdwCleanerS2.txt

[picasso]

1. Wymagana poprawka. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{76D57F73-0F0F-7B7C-834E-612D7FB95B26}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{76D57F73-0F0F-7B7C-834E-612D7FB95B26}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. I jeszcze z dysku skasuj ten folder C:\Program Files (x86)\Mozilla Firefox (Firefox wygląda na odinstalowany).

 

3. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem Fix-it z artykułu KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj Internet Explorer, odinstaluj starą Java i zastąp najnowszą wersją 32-bit: KLIK. Swoją drogą, skąd po formacie taka stara Java:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29

 

6. Zabezpieczenia: kierowałam Cię już do wątku dyskusyjnego o tej infekcji. Wyciągnij z tego wnioski. Mogę polecić do bezpieczniejszego przeglądania w internecie piaskownicę typu SandBoxie. Rzeczywisty system nie zostanie zainfekowany, po restarcie zawartość wirtualna zostanie usunięta. Program nie jest darmowy, ale można z niego za darmo korzystać. Po okresie testowym 30-dni włączy się po prostu nagscreen przypominający o zakupach, ale dalej SandBoxie będzie działać.

 

 

 

.

[meerkatka]

Bardzo dziękuję za szybką i profesionalną pomoc

Właśnie przeczytałam wątek dyskusyjny. Skorzystam z porady odnośnie zabezpieczenia przeglądania w internecie, gdyż atak spotkał mnie już 3 raz i bardzo mnie to niepokoi. Pozdrawiam.