Kamilos Opublikowano 16 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2013 Witam serdecznie. Jestem nowy użytkownikiem forum. Kilka dni temu laptop mojego brata po raz drugi na przestrzeni 3 miesięcy został zablokowany przez infekcję zwaną potocznie 'wirusem policja'. Za pierwszym razem, po wygooglowanu problemu, poradziłem sobie z tym przy pomocy trybu awaryjnego z obsługą sieci - uruchomiłem system w tym trybie i przeskanowałem go skanerem ESET Online, który wyeliminował zagrożenie. Tym razem podobny manewr nie przyniósł skutku, gdyż chwilę po zalogowaniu się w trybie awaryjnym z obsługą sieci system samoczynnie się restartował, uniemożliwiając mi jakiekolwiek działanie. W sieci znalazłem alternatywne rozwiązanie - w trybie awaryjnym założyłem nowe konto użytkownika z uprawnieniami administratora i z poziomu tego konta przeskanowałem system ESET Online Scanner'em, który również i tym razem usunął 'policyjne dziadostwo'. System co prawda działa, jednakże chciałbym być absolutnie pewien, że na dysku nie ma już tego intruza, dlatego byłbym bardzo wdzięczny, gdyby ktoś kompetentny w temacie przyjrzał się logom wygenerowanym przez OTL i GMER-a celem sprawdzenia, czy w systemie nie ma już śladu po 'wirusie policja'. Co do okoliczności pojawienia się wirusa, to brat mówił mi, że w każdym z przypadków komputer został zainfekowany podczas korzystania z nieszczęsnego Facebooka, z tym tylko, że nie pamiętał, jakie strony były w tym czasie wyświetlone w tle. Powiedział mi jedynie, że podczas drugiego ataku ściągał coś z serwera do którego link znalazł na stronie bunalti*com (nie wiem, czy może mieć to znaczenie, ale wolę jak najlepiej przybliżyć okoliczności infekcji). Przy drugim ataku nieaktywna była również ochrona antywirusowa, gdyż dobiegł końca okres testowy dla programu Kasperski Antywirus 2013. Po przeskanowaniu systemu OTL-em i GMER-em przy zamykaniu Windows wygenerował również BLUE SCREEN ERROR (driver_power_state_failure), jednakże później uruchamiał się bez problemu. W załącznikach umieszczam również raport ze skanowania ESET-em - a nuż okaże się pomocny Byłbym bardzo wdzięczny za wszelką pomoc w rozwiązaniu ew. problemu Extras.Txt gmer.txt OTL.Txt log_ESET Online.txt Odnośnik do komentarza
diox Opublikowano 16 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2013 Odpadki po Ukashu to nic, w systemie jest infekcja ZeroAccess niszcząca ważne usługi Windows. 1. Uruchom Wiersz polecenia jako Administrator i wklej: sfc /scanfile=C:\Windows\system32\services.exe . Zrób wtedy restart systemu. 2. Uruchom Wiersz polecenia jako Administrator i wklej: netsh winsock reset . Zrób wtedy restart systemu. 3. Przez Dodaj/Usuń programy odinstaluj: Google Toolbar for Internet Explorer, Browse2save. 4. Uruchom OTL i w pole Własne opcje skanowania/skrypt wklej: :Files C:\Windows\Installer\{85a07e0e-217b-3f33-150a-2d1647df56f3} C:\ProgramData\7331404.reg C:\ProgramData\7331404.bat C:\ProgramData\7331404.padC:\Users\Ado\AppData\Roaming\skype.iniC:\Users\Ado\AppData\Roaming\BabylonC:\Users\Ado\AppData\Roaming\OpenCandy C:\Users\Ado\AppData\Roaming\SendSpace C:\Users\Ado\AppData\Roaming\mozillaC:\Program Files (x86)\mozilla firefox :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Default_Page_URL"=-"Search Bar"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]"wrc@avast.com"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HM500JI_S208JD0S853125&ts=1359592280 IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.good-results.info/?l=1&q=%7BsearchTerms%7D&pid=34&r=2013/02/13&hid=2001862735&lg=EN&cc=PLIE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\URLSearchHook: - No CLSID value foundIE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7DIE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{09CBBDF1-C336-495B-87A0-7094594DFABD}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p=%7BsearchTerms%7DIE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q=%7BsearchTerms%7D&affID=119776&babsrc=SP_ss&mntrId=ee6382a90000000000000022fbce7d74IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7DIE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.good-results.info/?l=1&q=%7BsearchTerms%7D&pid=34&r=2013/02/13&hid=2001862735&lg=EN&cc=PLO16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.):Commands[emptytemp] Wciśnij Wykonaj skrypt. Nastąpi restart systemu, po uruchomieniu podaj log z usuwania OTL. 5. Podaj raport z Farbar Service Scanner. 6. Pobierz i użyj AdwCleaner z opcji Usuń. 7. Zrób nowe logi z OTL( bez Extras) oraz z SystemLook x64 na warunek: :filefindservices.exe:regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Wciśnij Look. Dodaj tutaj raport z niego. . Odnośnik do komentarza
picasso Opublikowano 17 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2013 diox Skrypt poprawiony: - wpis O20 przetworzony na :Reg (to pełne usuwanie wpisu Shell którego nie ma być w HKCU). - dodane: pliki cyfrowe w ProgramData od infekcji, kilka obiektów adware oraz usuwanie wpisów Firefox (nie istnieje jako zainstalowany). - usunięte: skype.dat przecież nie istnieje na dysku (o czym informuje wpis), wpisy które załatwi deinstalacja z punktu 3 lub są pozornymi "not found". Ze skanu SystemLook usunięty dir Kosza, to nie ten wariant ZeroAccess. . Odnośnik do komentarza
Kamilos Opublikowano 17 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Kwietnia 2013 Witam ponownie, Bardzo dziękuję za okazane zainteresowanie i pomoc . Wykonałem wszystko zgodnie z opisem: Ad. 1) Brak naruszeń integralności. Ad. 2) Winsock Catalog zresetowany pomyślnie. Ad. 3) Odinstalowane. Ad. 4) Skrypt wykonany, log o nazwie OTL_skrypt.txt Ad. 5) Log w załącznikach. Ad. 6) Zrobione (na wszelki wypadek zamieszczam log) Ad. 7) Logi w załącznikach. OTL_skrypt.txt FSS.txt AdwCleanerS1.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 18 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Skan z SystemLook błędnie wykonany, tak jakby każda linia była szukana oddzielnie. Powtórz skan: :filefindservices.exe:regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Odnośnik do komentarza
Kamilos Opublikowano 18 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Ok, już wiem w czym tkwił błąd - wrzucam log z powtórzonego skanu. Mam nadzieję, że tym razem wszystko będzie w porządku . SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 18 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Teraz skan OK, możemy przejść dalej do naprawy szkód poczynionych przez ZeroAccess: 1. Odbudowa usuniętych usług. Skorzystaj z ServicesRepair. 2. Odbudowa ikony Centrum Akcji plus korekty po AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]"AutoStart"=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REGKliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Usunięcie szczątków ESET Smart Security. Zastosuj ESET Uninstaller z poziomu Trybu awaryjnego Windows (narzędzie nie działa w Trybie normalnym).4. Zrób nowy log Farbar Service Scanner oraz SystemLook na warunek::regHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s. Odnośnik do komentarza
Kamilos Opublikowano 18 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Ok, wszystko zrobione wedle zaleceń. SystemLook.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 18 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Wszystko zrobione. Przechodzimy do wykończeń: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.2. Wyczyść foldery Przywracania systemu: KLIK.3. Na wszelki wypadek zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Kamilos Opublikowano 19 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 Zrobione, Malwarebytes niczego niepokojącego nie wykrył. Serdecznie dziękuję za poświęcony czas i pomoc . To, co tutaj robicie jest po prostu fantastyczne!!! Mam jeszcze pytanko natury technicznej - teraz, kiedy system jest czysty, jakim programem AV najlepiej go chronić - czy którymś z bezpłatnych, czy jednak jakimś komercyjnym? (nad jakimi ewentualnie szczególnie się pochylić)? Byłbym bardzo wdzięczny za jakieś opinie/sugestie Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 Na zakończenie: 1. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu posiadasz obecnie wersje: Internet Explorer (Version = 9.0.8112.16421)========== HKEY_LOCAL_MACHINE Uninstall List ==========64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll () 2. Prewencyjnie zmień hasła logowania w serwisach. Mam jeszcze pytanko natury technicznej - teraz, kiedy system jest czysty, jakim programem AV najlepiej go chronić - czy którymś z bezpłatnych, czy jednak jakimś komercyjnym? (nad jakimi ewentualnie szczególnie się pochylić)? Wychodzę z założenia, że dowolny antywirus darmowy czy komercyjny z tzw. "czołówki" (a nie nisza) to dobre rozwiązanie. . Odnośnik do komentarza
Kamilos Opublikowano 24 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 Ok, zrobione. Jeszcze raz serdecznie dziękuję za pomoc Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi