Trojan Reveton? Plik runctf, "komputer został zablokowany przez policję..."

[Noosfe]

witam serdecznie, namierzyłem dziada, czyt złośliwe oprogramowanie ale nie mogę się go pozbyć - ciągle jest w Autostart

zamieszczam logi i proszę o pomoc. Pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Czy Windows Defender jest odinstalowany? Log wysyła sprzeczne komunikaty, pozycja na liście zainstalowanych, ale część fragmentów pełna, a część "not found":

 

SRV - File not found [Auto | Stopped] --  -- (WinDefend)
O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Program Files\Windows Defender\MpShHook.dll (Microsoft Corporation)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{A06275F4-324B-4E85-95E6-87B2CD729401}" = Windows Defender

 

Potwierdź czy był deinstalowany, a w drugim podejściu się do tego ustosunkuję. Na teraz usuwanie infekcji i adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Właściciel\wgsdgsdgdsgsd.exe
C:\Documents and Settings\NetworkService\Dane aplikacji\rgikns.dat
C:\Documents and Settings\Właściciel\Dane aplikacji\avdrn.dat
C:\Documents and Settings\All Users\Dane aplikacji\529C541101BE38FE6A551D808DB91CC6
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Dane aplikacji\Babylon
C:\Documents and Settings\Właściciel\Dane aplikacji\ShoppingReport
netsh firewall reset /C
 
:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=f473e70b0000000000000016e6d8e428"
O2 - BHO: (ShoppingReport2) - {258C9770-1713-4021-8D7E-1F184A2BD754} - C:\Program Files\ShoppingReport2\Bin\2.7.27\ShoppingReport.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O9 - Extra Button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - C:\Program Files\ShoppingReport2\Bin\2.7.27\ShoppingReport.dll File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - C:\Program Files\ShoppingReport2\Bin\2.7.27\ShoppingReport.dll File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O20 - HKLM Winlogon: System - (kdzfc.exe) -  File not found
O20 - Winlogon\Notify\reset5c: DllName - (reset5c.dll) -  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Twoje DNS są przekonfigurowane przez infekcję DNS Changer:

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{46D6022E-8EBE-4E9E-9EAF-D2A8CFCFE60D}: DhcpNameServer = 85.255.115.53,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{46D6022E-8EBE-4E9E-9EAF-D2A8CFCFE60D}: NameServer = 85.255.115.53,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A9953401-143A-49B7-8F77-AE4B7C93C898}: DhcpNameServer = 85.255.115.53,85.255.112.5

 

Nie wiadomo jak długo siedziałeś z tymi DNS... Zresetuj ustawienia DNS wg instrukcji: KLIK.

 

3. Firefox zabrudzony adware, ale nie opłaca się go czyścić, bo to archaiczny Firefox 2.0.0.20. Odinstaluj, przy deinstalacji zaznacz usuwanie plików użytkownika. Od razu usuń także wszystkie archaiczne Java:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

 

Jeśli chcesz z Firefox zachować przed deinstalacją zakładki i hasła (nic więcej), to posłuż się MozBackup.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Noosfe]

Czy Windows Defender jest odinstalowany? Log wysyła sprzeczne komunikaty, pozycja na liście zainstalowanych, ale część fragmentów pełna, a część "not found":

 

Nie, nie usunałem go, jest w "Dodaj usuń programy". Gdy pojawił się wirus 2 tygodnie temu miałem tylko defendera, wiec zaktualizowałem xp do sp3 i zainstalowałem Essentiala (myślałem ze usunie wira) ale defendera nie usuwałem. Usunąć?

 

 

System zostanie zrestartowany. Blokada zniknie.

 

Tak jak napisałaś, blokada znikła i zniknął plik z Autostartu xD

 

 

Zresetuj ustawienia DNS wg instrukcji: KLIK.

 

No chyba zrestartowałem i przeczyściłem pamięć podręczną DNS używając komendy ipconfig /flushdns

 

 

3. Firefox zabrudzony adware, ale nie opłaca się go czyścić, bo to archaiczny Firefox 2.0.0.20.

 

racja, komputer ojca - ogólnie mexyk, albo jak kto woli cyrk na kółkach usunąłem go całkowicie

 

 

Załączam log zaraz po skasowaniu plików i log ostateczny (już bez Extras) ale chyba z Extras - nie wiem co to jest ;p log z AdwCleaner tez jest, brakuje tylko loga z GMER, a to dlatego ze musze to na spokojnie ogarnąć po 22 i dośle

 

Dzięki wielkie za udzieloną pomoc, bujam się z tym tematem już ze 3 dni gdyby nie Ty, to formata musiał bym robić, jeszcze raz serdecznie dziękuje za udzielenie pomocy, jak się mogę odwdzięczyć?

01 11292012_195623 po wyczyszczeniu.txt

AdwCleanerS2.txt

OTL juz po wszystkim.Txt

GMER.txt

[picasso]

Noosfe, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam.

 

 

Załączam log zaraz po skasowaniu plików i log ostateczny (już bez Extras) ale chyba z Extras - nie wiem co to jest ;p log z AdwCleaner tez jest

 

"Nie wiem co to jest"? Przecież masz to w konfiguracji OTL opisane (KLIK) + w pierwszym poście wstawiałeś plik Extras. "Bez Extras" oznacza "nie dodawaj po raz drugi pliku Extras". To nie jest odpowiedni log z AdwCleaner, mnie interesuje ten właściwy z usuwania, bym wiedziała co usuwał:

 

AdwCleaner[s1].txt - [2949 octets] - [29/11/2012 17:53:16]

 

Podmień załączniki w poprzednim poście. Poza tym, wyraźnie kierowałam do opisu AdwCleaner na forum, gdzie są jedyne linki gwarantujące najnowszą wersję. A Ty użyłeś staroć:

 

# AdwCleaner v2.003 - Logfile created 11/29/2012 at 20:17:32

# Running from : C:\Documents and Settings\Właściciel\Pulpit\adwcleaner-25.IX.exe

 

Najnowsza wersja to daleko w przodzie, czyli 2.009. To ma ogromne znaczenie, tego programu się nie chomikuje na dysku i nie pobiera z innych linków niż strona domowa. Najnowsza wersja oznacza: nowe definicje adware i poprawki.

 

 

No chyba zrestartowałem i przeczyściłem pamięć podręczną DNS używając komendy ipconfig /flushdns

 

Reset DNS wykonany pomyślnie. Zniknęły przekierowania na adresy 85.255.115.53, 85.255.112.5.

 

 

Nie, nie usunałem go, jest w "Dodaj usuń programy". Gdy pojawił się wirus 2 tygodnie temu miałem tylko defendera, wiec zaktualizowałem xp do sp3 i zainstalowałem Essentiala (myślałem ze usunie wira) ale defendera nie usuwałem. Usunąć?

 

Jest: stary i uszkodzony. A zainstalowany MSSE to jego następca.

 

 

---

Akcja:

 

1. Odinstaluj Windows Defender.

 

2. Pobierz najnowszą wersję AdwCleaner, uruchom i zastosuj Delete.

 

3. Poprawki (m.in. usunięcie szczątków po odinstalowanym Firefox). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found
 
:Files
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla
C:\Program Files\mozilla firefox
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{F303B5A6-6439-41D7-BCD1-899ABDF3D4F5}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania utworzony przez najnowszy AdwCleaner. Przypominam: podmieniasz załączniki w poprzednim poście wstawiając log z poprzedniego usuwania starym AdwCleaner, ale w nowym poście podajesz log utworzony przez najnowszy AdwCleaner.

 

 

.

[Noosfe]

dobra, nie mam zamiaru spędzić całego życia siedząc przed komputerem i zagłębiać się w techniki dla mnie mało intuicyjnego forum, wydaje mi się że moje błędy, to tylko kosmetyka, jeśli chodzi o obsługę tego forum.

 

Natomiast jeśli chodzi o Naszą współprace, to są jej efekty i o to chodziło. Wirusa nie ma.

 

Wklejam tutaj te załączniki bo nie ogarniam - nie muszę - jak edytować post, a konkretnie zamieszczone w nim załączniki.

 

Jeszcze raz dziękuję za pomoc (mam nadzieje ze teraz wszystko jest już ok) i życzę spokojnej nocy.

 

Pozdrawiam Noosfe

AdwCleanerS3.txt

OTL.Txt

11302012_004349log.txt

[picasso]

dobra, nie mam zamiaru spędzić całego życia siedząc przed komputerem i zagłębiać się w techniki dla mnie mało intuicyjnego forum, wydaje mi się że moje błędy, to tylko kosmetyka, jeśli chodzi o obsługę tego forum.

 

To jest zasada 99% forów. Niektóre fora jeszcze za to obdarzają ostrzeżeniami. Wyobraź sobie, że ktoś "uzupełnia" wypowiedź 10 razy pisząc 10 postów, jeden pod drugim. To dopiero jest "mało intuicyjne", ktoś czyta dialog użytkownika, który rozmawia sam ze sobą. Temat robi się długi, nie ma porządku i nie koresponduje to wcale do zawartości, a czytającym się utrudnia (np. będą się musieli przebić przez dwie strony ping-ponga użytkownika gadającego do siebie). Każdy napisany post = konsekwencje w mojej bazie danych, to też bierz pod uwagę.

 

 

Wklejam tutaj te załączniki bo nie ogarniam - nie muszę - jak edytować post, a konkretnie zamieszczone w nim załączniki.

 

Na przyszłość: w każdym poście klik w Edytuj > Użyj pełnego edytora > i na tacy wymiany załączników. I nadal nie podałeś mi raportu z poprzedniego uruchomienia AdwCleaner, tego starego 2.005. Nadal nie wiem co kasował. No dobra, zostawiam to już.

 

 

---

Przechodząc do meritum sprawy, jeszcze poprawki i potwierdzenia:

 

1. W Google Chrome nadal strona startowa adware:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.babylon.com/?AF=100478&babsrc=HP_ss&mntrId=f473e70b0000000000000016e6d8e428"

 

Wejdź do opcji przeglądarki do sekcji "Po uruchomieniu" i sprawdź czy na liście stron startowych widać Babylon gotowy do usuwankia. Jeśli nie będzie widać, to wymagana inna akcja. Tzn. zamknij Google Chrome (nie może być uruchomione w procesach!). Otwórz w Notatniku plik:

 

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Preferences\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj dwie frazy homepage i zastąp w nich adresy. Zapisz zmiany w pliku.

 

2. W AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniżej wyliczone:

 

C:\WINDOWS\erdnt (kopia rejestru utworzona przez ComboFix)

C:\WINDOWS\tasks\MpIdleTask.job (zadanie Harmonogramu Windows Defender)

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[picasso]

adus89, zasady działu: KLIK. Nie podpinaj się pod cudzy temat.

 

 

5. Wchodzimy na dysk na którym znajduje się system operacyjny C:\WINDOWS\system32\ i szukamy pliku rundll.exe usuwamy

go również nie ma opcji by znowu się pojawił.

 

Kolego, wpis infekcji wygląda w taki sposób:

 

O4 - Startup: C:\Documents and Settings\Konto użytkownika\Menu Start\Programy\Autostart\runctf.lnk = C:\WINDOWS\system32\rundll32.exe (Microsoft Corporation)

 

Broń Boże nie usuwać rundll32.exe. To jest plik Windows (Proces hosta systemu Windows), a pogrubiona fraza wyjaśnia rolę. A to, że infekcja posługuje się nim do uruchomienia swojego pliku, to jest całkiem inne zagadnienie. Natomiast nie mówisz nic o plikach, które rzeczywiście należy usunąć, czyli pliki *.pad i dodatkowe podobne exe.

 

 

Dodam jeszcze, że na wszelki wypadek można usunąć przeglądarkę z której korzystaliśmy podczas łapania syfu.

 

To Javę należy aktualizować a nie usuwać przeglądarkę.

 

 

Dla niektórych polecam format partycji systemu i postawić system na nowo, zawsze to trochę porządek się zrobi.

 

To jest prymitywna infekcja. Decydować się na format z jej powodu jest bardzo dziwnym krokiem.

 

 

 

,

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso