Ransomware po fińsku

[Olleo]

Dzień dobry,

 

problem wygląda typowo, czyli ekran z informacją, że komputer został zablokowany przez policję i odblokowany zostanie po uiszczeniu stosownej opłaty za pomocą UKASH. Tyle, że po fińsku.

 

Brak też typowych dla weelsof plików i wpisów w StartUp o losowej nazwie. Problem daje się ominąć otwierając zaraz po wystartowaniu Windows 7 64 bit notepada i wpisując dowolny ciąg znaków, a po wystąpieniu blokady próbując wylogować/zamknąć system.

 

Mniej typowe są okoliczności - to komp służbowy, a więc:

- mam niepełne prawa administratorskie,

- włączone jest szyfrowanie dysku PointSec, a więc nie mogę wystartować kompa z płyty CD/DVD/USB,

- zainstalowane jest oprogramowanie Trend Micro OfficeScan, które niczego nie wykrywa, przed niczym nie chroni, ale nie daje się skillować.

 

A do tego Safe mode po paru sekundach restartuje kompa.

 

Mam nadzieję, że uda się Wam mi pomóc, a poniżej załączam log z OTL.

 

[edited] dołączyłem log Extras.txt

OTL.Txt

Extras.Txt

[Landuss]

Rzeczywiście jest tutaj infekcja. Wykonaj poniższe czynności:

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O20 - HKU\S-1-5-21-1593251271-2640304127-1825641215-96630 Winlogon: Shell - (D:\userdata\wro01692\Application Data\skype.dat) - D:\userdata\WRO01692\Application Data\skype.dat ()

:Files
D:\userdata\wro01692\Application Data\skype.dat
D:\userdata\wro01692\Application Data\skype.ini

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Olleo]

W trakcie. Jak skończy, to wyedytuje post i wkleję logi.

 

Właśnie mi ten Skype nie pasował (nawet zaglądałem do plików), bo ja Skype'a nie mam i nie używam.

 

[edited]

Log z wykonania skryptu:

 

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1593251271-2640304127-1825641215-96630\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:D:\userdata\wro01692\Application Data\skype.dat deleted successfully.
D:\userdata\WRO01692\Application Data\skype.dat moved successfully.
========== FILES ==========
File\Folder D:\userdata\wro01692\Application Data\skype.dat not found.
D:\userdata\wro01692\Application Data\skype.ini moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: CLEARC_SVC003_PL
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: wro01692
->Temp folder emptied: 464294094 bytes
->Temporary Internet Files folder emptied: 178615579 bytes
->Java cache emptied: 22013458 bytes
->Opera cache emptied: 55199441 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1716106 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 775015477 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66340 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 738 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 125245 bytes
RecycleBin emptied: 5275282 bytes
 
Total Files Cleaned = 1 433,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03272013_093420

Files\Folders moved on Reboot...
C:\Users\wro01692\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\12474-rloader1-c-7265170nls-acpisys[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\ads[6].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\fastbutton[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\fastbutton[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\fastbutton[3].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\hub[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\like[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\PIE[1].htc moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\sh114[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\tweet_button.1363148939[2].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\xd_arbiter[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QLOJWOJC\xd_arbiter[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\adsCAB0782Z.htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\ads[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\ads[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\announcement-3-ważne-zakładanie-tematu-obowiązkowe-logi[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\badge[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\hub[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\like[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\si[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\xd_arbiter[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\xd_arbiter[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C7NB68ZV\xd_arbiter[3].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\60-diagnostyka-infekcje-typu-rootkit[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\61-diagnostyka-ogolne-raporty-systemowe[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\ads[7].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\fastbutton[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\fastbutton[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\like[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\like[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\search[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5Y20KCI7\si[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\11713-verwijder-het-poliisi-virus[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\ads[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\fastbutton[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\fastbutton[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\follow_button.1363148939[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\hub[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\like[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\search[1].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\search[5].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\xd_arbiter[2].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\xd_arbiter[4].htm moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\184O5D4Q\zrt_lookup[1].html moved successfully.
C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
File move failed. C:\WINDOWS\temp\tm_icrcL_A606D985_38CA_41ab_BCD9_60F771CF800D scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

Załączam również log ze skanu.

OTL.Txt

Edytowane 27 Marca 2013 przez Olleo

[Landuss]

Infekcja poprawnie usunięta. Możesz wykonać czynności kończące.

 

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35

Szczegóły aktualizacyjne: KLIK

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

[Olleo]

Dzięki wielkie za pomoc.