Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja: "Wirus 300 zł" (JS/BlacoleRef.w.29)

enesounds

Przez enesounds
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

enesounds

enesounds

Opublikowano
Opublikowano

Witam.

 

Chwilę po pojawieniu się komunikatu programu Avira (Realtime Protection) o znalezieniu w folderze tymczasowym przeglądarki Mozilla Firefox wirusa JS/BlacoleRef.W.29 i wybranym poleceniu usunięcia pliku oczom moim ukazał się chyba dosyć modny ostatnio ekran o blokadzie komputera przez "policja department" i potrzebę uiszczenia wpłaty. Muszę przyznać, że to pierwszy raz, kiedy Avira mnie zawiódł, od lat nie miałem problemów ze złośliwym oprogramowaniem. Zakładam, że komunikat programu antywirusowego jest związany z dalszymi efektami, dlatego też ująłem w temacie nazwę wykrytego wzorca.

 

Z braku dostępu do internetu i czasowego "noża na gardle" użyłem zgodnie z telefoniczną poradą osoby uzbrojonej w internet tego, co miałem pod ręką - ComboFix-a, za co z góry przepraszam, bo widzę, że niechętnie z nim działacie.

 

Skan Aviry, który przeprowadziłem po restarcie systemu i odłączeniu komputera od internetu ("blokada" komputera następowała tylko w przypadku uzyskania połączenia z internetem), został przerwany na rzecz uruchomienia ComboFixa. Trwał zdecydowanie za długo, a mi zależy monco na czasie. W logu Aviry znajduje się informacja o usunięciu pliku, o którym wspominałem; widocznie moja komenda w odpowiedzi na monit modułu realtime nie poskutkowała przy pierwszej próbie usunięcia.

 

Combofix znalazł/usunął dużo więcej "kwiatków". W tej sytuacji trudno mi określić, czy problemem jest wyłącznie "wirus 300 zł".

 

Po skanie ComboFix-a i próbie połączenia z internetem komputer nie został już "zablokowany" przez "policyjny department", ale chciałbym mieć pewność, że na pewno mam juz czysto.

 

Na koniec przeprowadziłem skan zalecanego OTL-a.

 

W związku z tym załączam do wglądu logi z Aviry (http://wklej.org/hash/95c8b4db253/), ComboFixa i OTL-a i bardzo proszę o pomoc w znalezieniu ewentualnych problemów.

 

Mam nadzieję, że forma postu spełnia wymagania regulaminu, za wszystkie niedopatrzenia z góry przepraszam.

 

Pozdrawiam,

enes

Extras.Txt

log_combofix.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Chwilę po pojawieniu się komunikatu programu Avira (Realtime Protection) o znalezieniu w folderze tymczasowym przeglądarki Mozilla Firefox wirusa JS/BlacoleRef.W.29 i wybranym poleceniu usunięcia pliku oczom moim ukazał się chyba dosyć modny ostatnio ekran o blokadzie komputera przez "policja department" i potrzebę uiszczenia wpłaty. Muszę przyznać, że to pierwszy raz, kiedy Avira mnie zawiódł, od lat nie miałem problemów ze złośliwym oprogramowaniem. Zakładam, że komunikat programu antywirusowego jest związany z dalszymi efektami, dlatego też ująłem w temacie nazwę wykrytego wzorca.

 

Avira wykryła tylko "początek", czyli uruchomienie skryptu na jakiejś zainfekowanej stronie, wyniki ze skanera to obiekty w cache Firefox.

 

 

Z braku dostępu do internetu i czasowego "noża na gardle" użyłem zgodnie z telefoniczną poradą osoby uzbrojonej w internet tego, co miałem pod ręką - ComboFix-a, za co z góry przepraszam, bo widzę, że niechętnie z nim działacie.

 

Chodzi nam o użytkowników, którzy nie mają wiedzy o programie, a go uruchamiają, nie umieją też ocenić wyników i ewentualnie naprawić szkody. ComboFix jest tu używany przez nas do bardziej inwazyjnych operacji i mocnych infekcji.

 

 

Combofix znalazł/usunął dużo więcej "kwiatków". W tej sytuacji trudno mi określić, czy problemem jest wyłącznie "wirus 300 zł".

 

Od infekcji były tylko te pliki:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\dsgsdgdsgdsgw.pad
c:\programdata\lsass.exe
c:\users\enes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

 

Reszta to nie infekcje, tylko albo pomyłki (usunięty program SecureW2, pliki Total Commander pkunzip.pif + pkzip.pif, deinstalator UNWISE.EXE od czegoś) albo rzeczy nieistotne (TempDIR, IDropPTB.dll, data):

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\data
c:\program files (x86)\SecureW2
c:\program files (x86)\SecureW2\Uninstall.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2\TTLS Manager.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\SecureW2\Uninstall.lnk
c:\users\enes\AppData\Local\TempDIR
c:\users\enes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SecureW2
c:\windows\Downloaded Program Files\IDropPTB.dll
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\SysWow64\UNWISE.EXE
 
- - - - USUNIĘTO PUSTE WPISY - - - -
.
AddRemove-Hardlock Device Drivers - c:\windows\system32\UNWISE.EXE
AddRemove-SecureW2 EAP Suite - c:\program files (x86)\SecureW2\Uninstall.exe

 

Program SecureW2 EAP Suite będziesz musiał przeinstalować. To wyjaśnia w obrazowy sposób o co nam chodzi z uruchamianiem ComboFix.

 

 

Infekcja została usunięta, toteż przejdź do wykończeń:

 

1. Mała poprawka na wpisy puste + czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Synergy\synergys.exe -- (Synergy Server)
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

H:\ComboFix.exe /uninstall

 

Gdy komenda ukończy doczyść resztę: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Opera 12.02.1578" = Opera 12.02
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

W podsumowaniu: odinstalowanie Adobe / Java i zastąpienie najnowszymi wersjami, aktualizacja Opery, instalacja Service Pack dla Microsoft SQL Server 2008 (KB968382).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...