Trojan "policyjny"

[anonim240]

Witam,

u mnie podobnie jak u kolegi pojawił się ten trojan: https://www.fixitpc.pl/topic/15591-robak-policyjny-wyskakujace-okna-przy-starcie-systemu/. przeskanowałem komputer Avastem a następnie Kaspersky Rescue Disk 10.0. wykryły one 3 trojany które zostały usunięte ale ponownie pojawia się okno do zapłaty.

proszę o pomoc.

 

Extras.Txt

OTL.Txt

[picasso]

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone.

 

Logi z OTL zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: DANKA | User Name: Administrator | Logged in as Administrator.

 

Konta mają inne rejestry i foldery. Jeśli infekcja działa po stronie danego konta, nie jest widzialna z poziomu innego konta. Tak tu jest. Zastartuj do Trybu awaryjnego, zaloguj się na właściwe konto i zrób nowe logi z OTL.

 

 

.

[anonim240]

Regulamin przeczytałem, sorry za wcześniejsze błędy.

W trybie awaryjnym na właściwym koncie komputer sam się restatuje natychmiast po pojawieniu się ikon na pulpice. W trybie normalnym pojawia się białe tło i komputer nie reaguję na żadne przyciski, tylko przycisk włączenia wyłącza komputer.

 

udało mi się z wiersza poleceń uruchomić program ale mam tylko plik otl, extras nie ma, nie wiem dlaczego

OTL.Txt

[anonim240]

dziś udało mi się usunąc tego wstrętnego Robaka, pomocny był wpis na tej stronie http://www.maxkomput...icj-trojan.html skorzystałem z metody 3.

plik log combofix oraz log z otl:

ComboFix.txt

OTL.Txt

[picasso]

udało mi się z wiersza poleceń uruchomić program ale mam tylko plik otl, extras nie ma, nie wiem dlaczego

 

Opis konfiguracji OTL to wyjaśnia: KLIK.

 

 

dziś udało mi się usunąc tego wstrętnego Robaka, pomocny był wpis na tej stronie http://www.maxkomput...icj-trojan.html skorzystałem z metody 3.

 

Na temat uruchamiania ComboFix: KLIK. Usuwanie było wykonalne bez ComboFix. ComboFix posunął się też za daleko, usunął prawidłowy deinstalator tych aplikacji:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
 
c:\windows\IsUn0415.exe
 
- - - - USUNIĘTO PUSTE WPISY - - - -
 
AddRemove-Power Saver - c:\windows\IsUn0415.exe
AddRemove-Program PC Diagnostic Tool - c:\windows\IsUn0415.exe

 

Wymagane drobne poprawki (na dysku nadal jeden z plików infekcji).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Konieczna\Dane aplikacji\skype.ini
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\Konieczna\Menu Start\Programy\Autostart\3DO Registration.lnk =  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\s24trans.sys -- (s24trans)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KONIEC~1\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę:

 

E:\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj z dysku te foldery:

 

C:\Kaspersky Rescue Disk 10.0

C:\WINDOWS\erdnt

 

3. Odinstaluj wszystkie stare wersje Adobe / Java / OpenOffice.org, zaktualizuj Google Chrome: KLIK. Na Twojej liście zainstalowanych widać aktualnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 30
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{97E84E63-52C2-4F7A-80C6-5A8AE43A033C}" = OpenOffice.org 1.9.102
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Google Chrome" = Google Chrome 23.0.1271.97

 

Widzę też u Ciebie staroć Gadu-Gadu 7.7. Wersja niepełnosprawna i słabo zabezpieczona. Proponuję alternatywę z dobrą obsługą sieci Gadu: WTW. Opis komunikatora: KLIK.

 

 

 

.

[anonim240]

dzięki za pomoc.

dokończyłem porządki. wszystko działa prawidłowo.

pozdrawiam.