Virus "policja" jakiś zaawansowany

[solaris]

Opis problemu:

 

Temat juz pewnie wiele wyjaśnia. Wczoraj wieczorem grając (counter-strike) nagle norton zaczął wariować i bum słynna strona policji. Dodam, że nie mogłem wogóle uruchomić windowsa nawet z trybu awaryjnego. Wczoraj raz mi się udalo wejść do windowsa (przy wyłączaniu szybko kliknalem anuluj) i usunąłem norona i zamiast szukać pomocy u kogoś doświadczonego to sciagnalem kaspersky i przy skanowaniu to samo. Policja! Teraz też jakims cudem go uruchomilem. Serdecznie proszę o pomoc

Dodam jeszcze, że internet strasznie "muli" tzn jakby był wolniejszy od kilku dni. Nie wyłączam komputera bo sie nie właczy.

OTL.Txt

Extras.Txt

[picasso]

[Dodam, że nie mogłem wogóle uruchomić windowsa nawet z trybu awaryjnego.p

 

Nie wypróbowałeś wszystkich trybów... Tu z pewnością działa Tryb awaryjny z obsługą Wiersza polecenia. Masz infekcję w wariancie ładowanym przez Shell graficzny, dlatego jedyny działający tryb to linia komend.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Users\user\AppData\Roaming\skype.dat
C:\Users\user\AppData\Roaming\skype.ini
C:\Users\user\AppData\Roaming\A05D73.dat
C:\Users\user\uidsave.dat
C:\Users\user\Local Settings
 
:OTL
O4 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000..\Run: [ASRockXTU]  File not found
O4 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000..\Run: [bSserver] FileKan.exe File not found
O4 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000..\Run: [sonyAgent] C:\Windows\Temp\temp63.exe File not found
O4 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000..\Run: [zASRockInstantBoot]  File not found
O4 - HKU\.DEFAULT..\RunOnce: []  File not found
O4 - HKU\S-1-5-18..\RunOnce: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: []  File not found
O4 - HKU\S-1-5-20..\RunOnce: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada powinna zniknąć.

 

2. Używałeś AdwCleaner, należy skorygować po nim domyślne wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Wyczyść Firefox z adware Babylon: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[solaris]

Komputer uruchomił się normalnie bez problemów. Adwcleaner używałem wlaśnie z opcji tryb awaryjny z wierszem. Wiele osob w sieci polecało użycie w ten sposob COMBOFIX-a ale jak poczytałem o tym programie to wiedziałem, że nie będe umial tego zrobic poprawnie. FIX.REG zapisał sie i dodał do rejestru. Tylko jest jeden problem log po restarcie komputera mi się nie zapisał. Czy mam przeprowdzić skanowanie ze skryptem jeszcze raz?

 

OTL.Txt

[picasso]

Tylko jest jeden problem log po restarcie komputera mi się nie zapisał. Czy mam przeprowdzić skanowanie ze skryptem jeszcze raz?

 

Log jest zapisany w głównym katalogu dysku, z którego uruchamiano OTL, czyli w Twoim przypadku w folderze C:\_OTL. Raport ma rozszerzenie *.LOG, by go wstawić w załącznik, należy ręcznie zmienić nazwę pliku na *.TXT.

 

 

.

[solaris]

Faktycznie jest

 

01312013_075543.txt

[picasso]

Zadania pomyślnie wykonane. Jest tu kolejna infekcja do rozwiązania, czyli trojan ZeroAccess i szkody przez niego poczynione w systemie.

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-3260433711-2860614819-1312031064-1000\$a417973e902d9fcf62fb887862650c91 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej:

 

:dir

C:\$Recycle.Bin /s
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

.

[solaris]

Wszystko zrobiłem(skan farbar zrobiłem tak jak uruchomił się program i nie były zaznaczone wszystkie okienka)

SystemLook.txt

OTL.Txt

FSS.txt

[picasso]

(skan farbar zrobiłem tak jak uruchomił się program i nie były zaznaczone wszystkie okienka)

 

Ale przecież wyraźnie mówię w instrukcjach, że należy wszystko zaznaczyć, cóż mi po skanie na pół gwizdka, prawie nic nie widać. Zrób skan wedle opisu w przyklejonym temacie i podmień załączniki w swoim poście powyżej.

 

EDIT: Log podmieniony. Przechodzimy dalej:

 

1. Odbuduj martwą ikonę Centrum Akcji. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz opcję Scal.

 

2. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

3. Zrób nowy log z Farbar Service Scanner oraz SystemLook na poniższy warunek:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

 

 

.

[solaris]

Zrobione

 

PS: Zastanawiam się nad kupnem Kaspersky Internet Security. Czy jest to dobre i konieczne rozwiązanie?

SystemLook.txt

SvcRepair.txt

FSS.txt

[picasso]

Wszystko naprawione. Idziemy dalej:

 

1. Usunięcie drobnych odpadków po Symantec i Splashtop Connect IE. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
WCUService_STC_IE
 
:Files
C:\Windows\tasks\Norton Product Installer.job
C:\Windows\tasks\Norton Product InstallerIdle.job
C:\Program Files (x86)\Splashtop
 
:Reg
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-

 

Klik w Wykonaj skrypt. Dodatkowo, uruchom Autoruns i w karcie Scheduled Tasks usuń zadania Nortona, o ile będą.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek zwrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o edycję, wybierz darmową, by nie został zainstalowany strażnik, który może kolidować z aktualnie obecnym KIS.

 

 

PS: Zastanawiam się nad kupnem Kaspersky Internet Security. Czy jest to dobre i konieczne rozwiązanie?

 

Jeśli w systemie nie notujesz spadku wydajności przy obecności KIS 2013, to nie widzę przeciwskazań. A czy ochrona jest potrzebna, jest retorycznym pytaniem, w końcu jesteś w dziale diagnostyki infekcji i prezentowałeś trojany.

 

 

 

.

[solaris]

Wszystko zrobiło się jak trzeba ale Anti Malware wykrył jeden plik

 

MBAM-log-2013-01-31 (12-21-24).txt

[picasso]

Wynik Malware.Trace w rejestrze, drobnostka, lecz usuwaj. I na zakończenie:

 

1. Aktualizacje: KLIK. Czyli tu deinstalacja starszych Java (dziury jedną z przyczyn infekcji "policją") i Adobe, zaktualizacja Firefox i Office 2007. W systemie widać obecnie zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox/Opera)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

PS. Widzę też Gadu-Gadu 10. Program już starawy (używa też przedawniony Adobe Flash), a forma nie do przyjęcia (konsumpcja zasobów i reklamy). Polecam alternatywy: WTW, Kadu, Miranda, AQQ. Wszystko rozpisane tu: KLIK.

 

 

 

.

[solaris]

Ok dziekuje za pomoc. Świetne forum. Dotacja poleciała. Mam nadzieje, że nie będe musial często bywać w tym dziale. Dziękuje jeszcze raz. Można zamknąć

[solaris]

Poprzednio pisałem tu o problemie z wirusem "policyjnym" Na kilka dni był spokój ale od 03.02.2013 zaczęły się problemy tj internet zaczął chodzić bardzo powoli tak jak wszystko co z nim związane. Na początku myślałem, że może coś robią "na sieci" (Internet mam z Vectry) ale po 24 godzinach zadzwoniłem na infolinie zapytać o co jednak chodzi ponieważ dobrze działający internet jest mi bardzo potrzebny. Kulturalna i miła pani stwierdziła, że to wina komputera bo u nich wszystko w porządku. Normalnie bym nie odpuścił jednak po ostatnim razie wiem, ze wszystko jest możliwe.

Extras.Txt

OTL.Txt

[picasso]

Temat doklejam do poprzedniego, by zamknąć to wszystko hurtem. Żadnych oznak infekcji.

 

 

ale od 03.02.2013 zaczęły się problemy tj internet zaczął chodzić bardzo powoli tak jak wszystko co z nim związane

 

Pierwszy podejrzany: Kaspersky Internet Security 2013. Zaznaczałam w poprzednim wątku: "Jeśli w systemie nie notujesz spadku wydajności przy obecności KIS 2013, to nie widzę przeciwskazań." Pełny test: deinstalacja KIS i sprawdź jak chodzi sieć.

 

 

PS. Nie wygląda byś wykonał poprzednie zalecenia aktualizacyjne. Od pierwszego kopa, w systemie nadal zainstalowane niebezpieczne wersje Java + skierowanie na stare wersje Adobe Flash:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
 
 
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()

 

Reszta wcześniej punktowanych też bez zmian.

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso