Infekcja przez ukash-"policjantów"

[scrambler]

dzień dobry,

problem - jak w temacie.

Objawy standardowe, z wyjątkiem aktywowania się tylko po podłączeniu komputera do sieci. Bez połączenia z netem system (XP) pracuje normalnie, bez żadnych zauważalnych objawów zarażenia wirusem. Wirus aktuwuje się w kilka sekund po podpięciu sieci (kabel, wireless).

W załączeniu przesyłam logi OTL - standart i full.

OTL.Txt

Extras.Txt

[picasso]

W załączeniu przesyłam logi OTL - standart i full.

 

Opis na forum jaka konfiguracja jest tu wymagana: KLIK. Ustawienie na Wszystko nie jest tu pożądane, o to prosimy tylko w szczególnych przypadkach, gdy należy diagnozować obiekty Windows a nie wtórne. Odcinam zbędne logi (duplikaty danych bądź dane zbędne).

 

 

Przechodzą do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Kancelaria\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
 
:OTL
SRV - File not found [Disabled | Stopped] -- D:\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe -- (SandraTheSrv)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj archaiczny i mało dziś przydatny Spybot - Search & Destroy.

 

3. Zresetuj plik HOSTS (niezdrowe modyfikacje Spybota) do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Przypominam: na ustawieniach opisanych na forum.

 

 

 

.

[scrambler]

OK, dziękuję. Z powodu wyjazdu operację usunięcia infekcji będę mógł wykonać najwcześniej jutro, ale najprawdopodobniej zrobię to dopiero dopiero w czwartek.

[scrambler]

OK, właśnie wykonałem zaleconą procedurę usunięcia infekcji. Problem ustąpił, dziękuję.W załączeniu przesyłam logi.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta, przejdź do finalizacji:

 

1. Przez SHIFT+DEL dokasuj te odpadki z dysku:

 

C:\Program Files\Spybot - Search & Destroy

C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy

C:\WINDOWS\System32\drivers\etc\hosts.old

C:\WINDOWS\System32\drivers\etc\hosts.20121116-123104.backup

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu obecnie krytyczny poziom aktualizacji XP (i system odcięty od pobierania łat, tylko XP SP3 ma wsparcie) oraz widoczne wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

Do wykonania pełna aktualizacja XP, czyli SP3 + IE8 + reszta łat (a będzie tego dużo, SP3 to rok 2008 ...). Reszta aplikacji nie wymaga wyjaśnień.

 

 

 

.

[scrambler]

dziekuję za pomoc. Dla wyjaśnienia - infekcji uległ stary, od dawna nieużywany sprzęt zmagazynowany "na wszelki wapadek". I własnie taki "wszelki" się wydarzył - padła nagle podstawowa jednostka robocza. Ta z zapasu była potrzebna tylko na kilka dni. W związku z powyższym oraz ogólnym brakiem czasu (podróże) na razie pozostawiam zalecenia odnośnie aktualizacji oprogramowania na później - do rozważenia z alternatywnym systemowym upgrade-m.

Jeszcze raz dziękuję i pozdrawiam