Bundespolizei (prawdopodobnie)

[Mac123]

Witam

Bardzo proszę o pomoc w usunięciu infekcji - jest to najprawdopodobniej ukash Bundespolizei blokujący komputer (po starcie Windowsa pojawia się ekran wirusa i nie ma możliwości wykonania żadnej akcji). Piszę "prawdopodobnie", ponieważ aktualnie ekran blokujący jest po prostu cały biały, jednak wg właściciela komputera wcześniej był to ekran podobny do tego: http://www.wikihow.c...zei_achtung.jpg

 

Logi OTL oraz GMER w załączeniu (GMER wykrył obecność rootkita ? )

 

Z góry dziękuję za wszelką pomoc.

Extras.Txt

gmerlog.txt

OTL.Txt

[picasso]

Tak, jest tu "policyjny" trojan, w postaci fałszywego "Skype". Ale to nie jest najgorsze, jest tu także trojan ZeroAccess, stąd w GMER jest notowany rootkit.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[-HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\fastprox.dll"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Niezbędny restart systemu, by odładować ZeroAccess z pamięci. Po restarcie efekt białego ekranu też powinien ustąpić.

 

2. Otwórz Notatnik i wklej w nim:

 

cacls C:\RECYCLER\S-1-5-18 /E /G Everyone:F

cacls C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888 /E /G Everyone:F
cacls C:\RECYCLER\S-1-5-21-3636758993-3325826158-3463020502-1007\$ff24043d55f85ce9a20a8337d9b4b888 /E /G Everyone:F
rd /s /q C:\RECYCLER
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

3. Przez Dodaj/Usuń programy odinstaluj adware DealScout for Internet Explorer, myBabylon_English Toolbar, MyIdentityDefender Toolbar (CyberDefender Corporation), Search-Results Toolbar.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Documents and Settings\Małgorzata\Dane aplikacji\skype.dat
C:\Documents and Settings\All Users\Dane aplikacji\3e211c770fd36dce89bdb9ecbc5a0234_c
C:\Documents and Settings\All Users\Dane aplikacji\62DB0BBE9338141A000062DAA8EC1C4C
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\BasicScan
C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\Wincert
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=464&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3273020216314676&q={searchTerms}"
IE - HKU\S-1-5-21-3636758993-3325826158-3463020502-1007\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100632&mntrId=62d2141a000000000000002100ae4133"
IE - HKU\S-1-5-21-3636758993-3325826158-3463020502-1007\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = "http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=5D5D396001CB92CE08678AAD&install_time=2010-12-03T09:42:23Z&src_id=11416&camp_id=427&tb_version=2.5.15000.521"
IE - HKU\S-1-5-21-3636758993-3325826158-3463020502-1007\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=464&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=3273020216314676&q={searchTerms}"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-3636758993-3325826158-3463020502-1007\..\Toolbar\WebBrowser: (Slownik LING) - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\LING Toolbar\Slownik LING\toolbar2.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook i w oknie do skanu wklej:

 

:dir

C:\RECYCLER /s

 

Klik w Look.

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Mac123]

ad. 1 Wykonane bez problemów.
ad. 2 Wykonane, z tymże Everyone musiałem zamienić na Wszyscy, inaczej nie dało rady.
ad. 3 MyIdentityDefender Toolbar (CyberDefender Corporation) nie udało się odinstalować - przy próbie deinstalacji komunikat o braku DLL, pozostałe odinstalowane bez problemu. Mimo problemu uznałem, że mogę kontynuować.
ad. 4 Wykonane.
ad. 5 Wykonane. Log w załączeniu.
ad. 6 Wykonane. Logi w załączeniu.

 

SystemLook 30.07.11 by jpshortstuff
Log created at 19:25 on 24/02/2013 by Małgorzata
Administrator - Elevation successful

========== dir ==========

C:\RECYCLER - Parameters: "/s"

---Files---
None found.

C:\RECYCLER\S-1-5-21-3636758993-3325826158-3463020502-1007    d--hs--    [18:08 24/02/2013]
desktop.ini    ---hs-- 65 bytes    [18:08 24/02/2013]    [18:08 24/02/2013]
INFO2    --ah--- 20 bytes    [18:08 24/02/2013]    [18:08 24/02/2013]

-= EOF =-

 

AdwCleanerS1.txt

FSS.txt

OTL.Txt

[picasso]

ad. 2 Wykonane, z tymże Everyone musiałem zamienić na Wszyscy, inaczej nie dało rady.

 

A tu widzisz miałam dylemat, bo nazwy grup muszą być w języku natywnym systemu, a nagłówek raportu OTL twierdził, że jest EN a nie PL:

 

Locale: 00000809 | Country: Wielka Brytania | Language: ENG | Date Format: dd/MM/yyyy

 

 

Wszystko prawie wykonane, ale nie wiem dlaczego nie został usunięty plik skype.dat infekcji policyjnej. Kolejne działania:

 

1. W Google Chrome nadal strony startowe adware a wyszukiwarka pusta:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.searchnu.com/406"
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
CHR - homepage: "http://www.searchnu.com/406"

 

Wejdź do ustawień przeglądarki. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a z listy stron startowych usuń te dwa wtręty. Jeśli jednak nie będą te strony widzialne, zamknij przeglądarkę (nie może być uruchomiona), otwórz w Notatniku plik:

 

C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj dwie frazy homepage i zastąp adresy.

 

2. Uruchom to narzędzie MS: KLIK. Wybierz Tryb nieautomatyczny i sprawdź czy widać wpis MyIdentityDefender do deinstalacji.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (MyIdentityDefender) - {A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6} - C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\CyberDefender\cdmyidd.dll (CyberDefender Corp.)
O3 - HKLM\..\Toolbar: (MyIdentityDefender) - {A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6} - C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\CyberDefender\cdmyidd.dll (CyberDefender Corp.)
O3 - HKU\S-1-5-21-3636758993-3325826158-3463020502-1007\..\Toolbar\WebBrowser: (MyIdentityDefender) - {A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6} - C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\CyberDefender\cdmyidd.dll (CyberDefender Corp.)
 
:Files
C:\Documents and Settings\Małgorzata\Dane aplikacji\skype.dat
C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\CyberDefender
C:\Documents and Settings\Malgorzata\Dane aplikacji\searchresultstb
C:\Documents and Settings\All Users\Dane aplikacji\Temp
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

4. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

5. Zresetuj system i zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner.

 

 

 

.

[Mac123]

ad. 1 Wykonane - okazało się, że po uruchomieniu Chrome, przeglądarka stwierdziła, iż plik Preferences jest uszkodzony i stworzyła go na nowo. W nowym pliku brak w ogóle ustawień homepage.

ad. 2 Niestety w żaden sposób nie udało mi się uruchomić wymienionego programu. Wyskakuje komunikat błędu na etapie instalacji Powershell - zarówno w trybie online jak i Portable. Pytanie czy ten MyIdentityDefender stanowi jeszcze jakiekolwiek zagrożenie ? Bo jeśli nie, to myślę, że może sobie pozostać na liście programów do deinstalacji.

ad. 3 Wykonane, ale w logu - skype.dat not found (polskie znaki w nazwie folderu użytkownika - Małgorzata ???). Log w załączeniu (otlscriptlog.txt).

ad. 4 Wykonane.

ad. 5 Wykonane. Logi w załączeniu.

FSS.txt

OTL.Txt

otlscriptlog.txt

[picasso]

1. Teraz w raporcie widzę już pełne ustawienia przeglądarki Google Chrome. Aktualnie jako domyślna wyszukiwarka jest ustawione adware Search Results. W zarządzaniu wyszukiwarkami przestaw domyślną na Google, po tym usuń Search Results z listy.

 

2. Skoro narzędzie MS stawia opór przy instalacji, do usunięcia wpisu MyIdentityDefender skorzystaj ze starszej postaci Windows Installer CleanUp.

 

3. W związku z tym, że skrypt OTL nie interpretuje "ł" w ścieżce, przez SHIFT+DEL skasuj ręcznie:

 

C:\Documents and Settings\Małgorzata\Dane aplikacji\skype.dat

C:\Documents and Settings\Małgorzata\Ustawienia lokalne\Dane aplikacji\CyberDefender

 

4. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Mac123]

Wszystkie punkty wykonane pomyślnie !

Skan Malwarebytes Anti-Malware nic nie wykazał, zatem bardzo dziękuję za fachową pomoc i myślę, że całą operację możemy uznać za zakończoną.

[picasso]

Na koniec:

 

1. Aktualizacje (KLIK), a konkretnie deinstalacja starych Adobe / Java / Silverlight na korzyść najnowszych plus aktualizacja Google Chrome. Wg raportu są tu wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java™ 6 Update 18
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.1.10329.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Google Chrome" = Google Chrome 24.0.1312.56
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()

 

2. Prewencyjna wymiana haseł logowania w serwisach.

 

 

.