Komputer został zablokowany przez policję

[apb]

Witam.

Natrafiłem na problem, który, z tego co widzę, jest prawdziwą plagą. Wyświetlił mi się komunikat o zablokowaniu mojego komputera przez policję i żądaniem wpłaty 300zł. Zastosowałem rozwiązanie opisane pod tym adresem: http://www.cert.pl/news/5707.

Za pomocą programu SysInternal Autoruns usunąłem podejrzany plik. Później przeskanowałem system, wszystko było ok, Jednak boję się, że mój antywirus również mógł zostać zainfekowany, a to z powodu komunikatu "McAfee Phishing Filter - file not found" w programie Autoruns.

Będę bardzo wdzięczny za pomoc, z góry dziękuję.

Extras.Txt

OTL.Txt

[picasso]

Usuwałeś tylko skrót infekcji w folderze Startup (ctfmon.lnk), ominąłeś te pliki infekcji:

 

[2012-11-13 23:56:31 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
[2012-11-13 23:56:38 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

 

Doczyszczanie powyższego i kilku pustych wpisów oraz sprzątanie lokalizacji tymczasowych:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
O2 - BHO: (YouTube To ALLPlayer) - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\PROGRA~2\ALLPLA~1\YOUTUB~1.DLL File not found
O4 - HKU\S-1-5-21-4210622580-2678060550-4240824244-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-4210622580-2678060550-4240824244-1000..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-4210622580-2678060550-4240824244-1000..\Run: [Twoje TVN24]  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Otworzy się log z z wynikami usuwania (a jeśli nie = wygrzeb go z katalogu C:\_OTL).

 

2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan OTL niepotrzebny.

 

 

Jednak boję się, że mój antywirus również mógł zostać zainfekowany, a to z powodu komunikatu "McAfee Phishing Filter - file not found" w programie Autoruns.

 

To prymitywna infekcja. Nie robi szkód w systemie, nie uszkadza antywirusów. To o czym mówisz w OTL wygląda następująco:

 

O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found

O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\Program Files\mcafee\msk\mskapbho.dll ()

 

To nagminnie widziany przeze mnie odczyt w raportach. O ile się nie mylę, wszystkie systemy 64-bit mają tę "wadę", czyli: 32-bitowy komponent obecny (integracja z 32-bitowym Internet Explorer), ale 64-bitowy (dopasowany do natywnie 64-bitowego Internet Explorer) "not found". Nic tu do roboty nie ma.

 

 

 

.

[apb]

Wyniki usuwania wyglądają nastepująco:

11142012_143041.txt

[picasso]

Skrypt pomyślnie wykonany. W ramach wykończeń tematu:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starsze Adobe i Java, zastąp najnowszymi wersjami: KLIK. Obecnie Twój raport mówi, że masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

 

.

[apb]

Zrobiłem wszystko zgodnie z zaleceniami, wielkie Dziękuję za pomoc.