Trask Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Witam, Dziś pierwszy raz, poza wzmiankami w artykułach, przyszło mi spotkać się z wirusem typu ransomware, który zadomowił się na komputerze mamy. Po innych tematach widzę, że nie jest tak trudne usunięcie go, choć ten zdaje się być troszkę inny. Stąd też gorąca prośba o pomoc - co tam moge wkleic by kompa odblokować. Załączam wymagane logi. Dziękuje serdecznie za pomoc! Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Tu nie tylko "policyjny" trojan, ale także nieprawidłowo wyczyszczony rootkit ZeroAccess (widać link symboliczny, strumień ADS, plik "bez nazwy" w system32, uszkodzony Winsock, wartość Shell), ślady podpinania zainfekowanych USB oraz śmieci adware. 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB45783$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\kasia\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini @C:\WINDOWS\3354652606:1091570744.exe fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB45783$ /C del "\\?\C:\Windows\System32\ " /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada policyjna zniknie. Opuść Tryb awaryjny. 3. Zresetuj Winsock. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zatwierdź restart komputera. 4. Google Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z Conduit na Google, po tym Conduit usuń z listy. 5. Firefox: wyczyść z adware przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Trask Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Wow. Wszystko działa jak należy, dziękuje bardzo! Do tej pory nie spotkałem się z tak pomocnym i profesjonalnym forum! Dołączam pliki z follow-up. Pozdrawiam! FSS.txt gmer.txt AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Wszystko zrobione. 1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB45783$ C:\WINDOWS\3354652606 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Otworzy się log z wynikami przetwarzania skryptu. 2. Pokaż ten log z wynikami. Nowy skan OTL nie jest potrzebny. Log będzie krótki = wklej wprost w poście. Gdy potwierdzę wykonanie zadania, podam dalsze kroki. . Odnośnik do komentarza
Trask Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Skrypt wklejony, jednak OTL wymusił restart, log po reboocie: ========== FILES ========== C:\WINDOWS\$NtUninstallKB45783$\3203396551\U(2) folder moved successfully. C:\WINDOWS\$NtUninstallKB45783$\3203396551\L(2) folder moved successfully. C:\WINDOWS\$NtUninstallKB45783$\3203396551 folder moved successfully. Folder move failed. C:\WINDOWS\$NtUninstallKB45783$ scheduled to be moved on reboot. C:\WINDOWS\3354652606 moved successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. OTL by OldTimer - Version 3.2.69.0 log created on 11192012_190911 Files\Folders moved on Reboot... C:\WINDOWS\$NtUninstallKB45783$\3203396551 folder moved successfully. Folder move failed. C:\WINDOWS\$NtUninstallKB45783$ scheduled to be moved on reboot. PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Opór stawia odpadkowy folder po ZeroAccess: C:\WINDOWS\$NtUninstallKB45783$. Czyli nadal problem uprawnień. 1. Do GrantPerms wklej: C:\WINDOWS\$NtUninstallKB45783 Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB45783 Klik w Wykonaj skrypt. Tak jak poprzednio = podaj log z wynikami przetwarzania. . Odnośnik do komentarza
Trask Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Zgodnie z instrukcją, wynik: ========== FILES ========== File\Folder C:\WINDOWS\$NtUninstallKB45783 not found. OTL by OldTimer - Version 3.2.69.0 log created on 11192012_211127 pliku nie ma - czyli cel osiagnelismy? Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 (edytowane) Coś się nie zgadza, na pewno ten skrypt nie był omyłkowo uruchamiany dwa razy? W każdym razie sprawa wygląda na rozwiązaną na tym poziomie. Idziemy dalej: 1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę używanych oraz folder "Stare dane programu Firefox" na Pulpicie już dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne (nie ekresowe) skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. Edytowane 18 Grudnia 2012 przez picasso 19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi