Komputer został zablokowany przez Policję

[Marek89]

Przedwczoraj pojawił się u mnie problem z ukash. Wyświetla się komunikat "Komputer został zablokowany!" przez Polska Policja Cyberprzestępczość Departament. Komputer działa normalnie, do momentu aż połączy się go z Internetem poprzez modem USB, wówczas pojawia się komunikat i nie da się go zamknąć. Ponadto po włączeniu komputera wyświetla się komunikat zamknięciu procesu hosta systemu Windows (Rundll32) z powodu błędu. Problem dotyczy Windowsa Visty SP2 32-bit. Oto logi z OTL i gmer:

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

2-gru-2012.log.txtPobieranie informacji ...

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Powstańców 45A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Powstańców 45A\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

 

[Marek89]

Wklejam 2 logi, pierwszy wykonany automatycznie przez OTL po restarcie, drugi log ze skanowania uruchomionego przeze mnie.

Czy po operacji będzie można usunąć zawartość folderu C:\_OTL\MovedFiles ?

 

Edit: Podczas uruchamiania komputera wyświetlił się błąd RunDLL, po wirusie chyba pozostała luka w rejestrze.

12052012_170117.log.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

[picasso]

Błąd stąd, że skrypt wbrew pozorom nie wykonał wszystkiego, ostał się skrót po infekcji. Poprawka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Powstańców 45A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania + potwierdzenie, że błąd RunDLL zniknął. Nowy skan OTL nie jest potrzebny.

 

 

  Cytat

Czy po operacji będzie można usunąć zawartość folderu C:\_OTL\MovedFiles ?

 

Do tego to przejdziemy na końcu. Załatwia to opcja Sprzątanie w OTL. Na razie nie może zostać zastosowana.

 

 

 

.

[Marek89]

Wczoraj ponownie pojawił się u mnie problem z Ukash. Po załadowaniu systemu wyświetla się białe tło i komputer przestaje reagować. Podczas przeglądania Internetu (ie9) wyświetlił się komunikat o tym, że Microsoft Security Essentials nie rozpoznaje dwóch plików zapisanych na dysku. Zezwoliłem programowi przesłać podejrzane pliki do analizy, parę chwil po tym wyświetlił się ten nieszczęsny komunikat z policją (inny niż poprzednio), nie wiem czy na skutek wejścia na jakąś stronę internetową, czy z powodu analizy tych podejrzanych plików. Dodam, że poprzednim razem nie posprzątałem po OTL, być może stąd taki skutek… Problem dotyczy Windowsa Visty SP2 32-bit. GMER nie zauważył modyfikacji w systemie. Załączam pliki OTL i Extras, ponadto zrobiłem dodatkowy skan SecurityCheck:

 

Results of screen317's Security Check version 0.99.57

Windows Vista Service Pack 2 x86 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Microsoft Security Essentials

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.61.0.1400

Java 7 Update 7

Java version out of Date!

Adobe Reader 10.1.4 Adobe Reader out of Date!

````````Process Check: objlist.exe by Laurent````````

Microsoft Security Essentials MSMpEng.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C: %

````````````````````End of Log``````````````````````

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[picasso]

Temat doklejam do poprzedniego. Tamten nie skończony (nie zadane kroki końcowe), system ten sam i jesteś tu zbyt szybko ponownie z problemem. Inny wariant infekcji, ale jej źródło pewnie podobne, jak i droga złapania (Java).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Users\Powstańców 45A\AppData\Roaming\skype.dat
C:\Users\Powstańców 45A\AppData\Roaming\skype.ini
 
:OTL
O15 - HKU\S-1-5-21-3379276292-1483760212-174044166-1001\..Trusted Domains: mks.com.pl ([www] https in Trusted sites)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Shockwave ActiveX Control)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, blokada powinna ustąpić.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[Marek89]

Blokada ustąpiła. Załączam 2 raporty ze skanowania, pierwszy utworzony automatycznie po ponownym uruchomieniu, drugi uruchomiony przeze mnie.

01312013_163908.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

[picasso]

Zadania wykonane. Przejdź do wykończeń:

 

1. Mini szczątek po skanerze ESET ominęłam. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które usuwanie z dysku OTL i jego kwarantannę.

 

3. W Dzienniku zdarzeń masz błąd WMI numer 10. Instrukcje naprawy: KLIK.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj starsze wersje Adobe i Java, czyli na Twojej liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

 

.

[Marek89]

Skrypt wykonany, jednak musiałem przypadkowo usunąć loga... Po Sprzątaniu w OTL i zalecanym po nim restarcie komputer nie chciał ponownie załadować systemu, udało się to dopiero po zresetowaniu komputera. Wrzucam zrzuty komunikatów z naprawy dziennika zdarzeń. Foldery przywracania systemu załatwione. Starsze wersje programów usunięte.

[picasso]

  Cytat

Skrypt wykonany, jednak musiałem przypadkowo usunąć loga...

 

Nie prosiłam o niego, bo modyfikacja bardzo mizerna.

 

 

  Cytat

Po Sprzątaniu w OTL i zalecanym po nim restarcie komputer nie chciał ponownie załadować systemu, udało się to dopiero po zresetowaniu komputera.

 

Być może jakieś drobne zwichrowania i operacje PendingFileRenameOperations wrażane przez OTL (używane do usuwania samego siebie) jednorazowo zablokowały start.

 

 

  Cytat

Wrzucam zrzuty komunikatów z naprawy dziennika zdarzeń.

 

"Odmowa dostępu" = Skrypt wykonywany na za niskich uprawnieniach. Plik Test.vbs przenieś wprost na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i dopiero tu uruchamiasz skrypt VBS wpisując C:\Test.vbs i ENTER.

 

 

 

.

[Marek89]

Po uruchomieniu CMD skrypt VBS został pomyślnie wykonany. Komputer działa normalnie, nie dostrzegam żadnych różnic w porównaniu do stanu przed zainfekowaniem. Dziękuje za profesjonalną pomoc przy naprawie mojego PC.

 

Pozdrawiam.