Cyberatak - policja ciąg dalszy

Freeze · 1 Grudnia 2012

Witam. Drugi raz w tym samym komputerze trafił mi się ten cały ukash. Z tym, że wcześniej było to FBI,a teraz przynajmniej Nasi

Proszę o sprawdzenię i poradę jak się przed tym ustrojstwem bronić. Jest jakiś antywirus, który by pilnował dziur przez które to wlatuje?

OTL.Txt

Extras.Txt

picasso · 1 Grudnia 2012

Nie zgłosiłeś się wtedy: KLIK. Nie została potwierdzona naprawa usług, nie zadane czynności końcowe.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Bartek\wgsdgsdgdsgsd.exe
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
O7 - HKU\S-1-5-21-3490047007-2606767096-1547910160-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

2. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

Proszę o sprawdzenię i poradę jak się przed tym ustrojstwem bronić. Jest jakiś antywirus, który by pilnował dziur przez które to wlatuje?

Dyskusja na temat tej infekcji: KLIK.

.

Freeze · 1 Grudnia 2012

Przepraszam. Chyba nawet w końcu sprawy z tą zaporą nie zrobiłem.

Dziękuję za pomoc. Z pewnością teraz dokończę instrukcję do ostatniej linijki.

OTL.Txt

AdwCleanerS1.txt

FSS.txt

picasso · 5 Grudnia 2012

Infekcja usunięta, ale:

Chyba nawet w końcu sprawy z tą zaporą nie zrobiłem.

No i właśnie, są pokiereszowane usługi. Usługi BFE + MpsSvc w ogóle nie uruchomione (przypuszczalnie brak prawidłowych uprawnień) plus całkowity brak usługi iphlpsvc:

Other Services:==============
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.

1. BFE + MpsSvc: Z instrukcji rekonstrukcji Zapory wykonaj część z odtwarzaniem uprawnień tych usług za pomocą SetACL: KLIK.

2. iphlpsvc: Większa liczba kroków wymagana, bo w ogóle brak w rejestrze tej usługi. Od razu uwzględnię inne korekty.

----> Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc]
"DisplayName"="@%SystemRoot%\\system32\\iphlpsvc.dll,-500"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4e,00,65,00,74,00,53,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\iphlpsvc.dll,-501"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,54,00,64,00,78,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,74,00,63,00,70,00,69,\
  00,70,00,00,00,6e,00,73,00,69,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\
  00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\config]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Interfaces]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,68,00,6c,00,70,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
  00
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\IPHTTPS]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Isatap]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Parameters\Teredo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo]
"SP1Installed"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc\Teredo\PreviousState]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

----> Następnie wklejasz ten zestaw do Notatnika:

"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\config",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Interfaces",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\IPHTTPS",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Teredo",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KR;;;BU)(A;CIIO;GR;;;BU)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCDCLCSWRPSDRC;;;S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526)"
"machine\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState",4,"O:SYD:AI"

Plik zapisujesz pod nazwą fix.txt i przenosisz na C:\. Ładujesz uprawnienia komendą:

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc" -ot "reg" -actn restore -bckp C:\fix.txt

3. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

.

Freeze · 11 Grudnia 2012

Wszystkie kroki zrobione. Przepraszam, że taka długa przerwa.

FSS.txt

picasso · 12 Grudnia 2012

O ile jest poprawa, to coś tu nadal jest nie tak, usługa Zapory MpsSvc jest w stanie zatrzymanym:

Windows Firewall:=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

Powtórz jeszcze raz ładowanie uprawnień MpsSvc przez SetACL. Zresetuj system i zrób nowy log z Farbar Service Scanner.

.

Freeze · 13 Stycznia 2013

Mam nadzieję, że nie zwlekałem zbyt długo.

FSS.txt

picasso · 15 Stycznia 2013

Jest bez zmian, usługa w stanie zatrzymanym:

Windows Firewall:=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

Z innej strony, zastosuj ServicesRepair, zatwierdź restart systemu i zrób nowy log z Farbar Service Scanner.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Cyberatak - policja ciąg dalszy

Rekomendowane odpowiedzi

Freeze

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Freeze

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Freeze

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Freeze

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność