"Policyjny" wirus ucash

[beyondZork]

Problem pojawil sie dzis rano, stary komputer znajomego, win xp sp2 32 bit.

Po wlaczeniu w trybie normalnym i zalogowaniu sie na konto uzytkownika pojawia sie ekran informacji "tu policja - chcemy kase" (w skrocie). Alt+ctrl+delete reaguja i okno menadzera zostaje otwarte, ale jest niewidoczne i niedostepne. Pulpit / jakiekolwiek elementy systemu niedostepne.
Po wyjeciu kabla sieciowego i zalogowaniu sie pojawia sie bialy ekran, reszta tak samo jak wyzej.

w trybie awaryjnym po zalogowaniu sie na konto uzytkownika komputer restartuje sie zaraz po zalogowaniu sie.
w trybie awaryjnym po zalogowaniu sie na konto administratora komputer dziala poprawnie, takze tylko w tym trybie moglem uruchomic wymagane narzedzia diagnostyczne.

Znalazlem w Program Files katalog Daemon Tools, ale przy probie deinstalacji dostalem komunikat "setup is unable to uninstall daemon tools".
Uzylem zaleconego narzedzia sptdinst - rezultat to "no sptd version was detected". Niemniej GMER wyswietla w oknie glownym jakies klucze rejestru zwiazane z Daemon Tools, nie wiem w co wierzyc.

Dolaczam wymagane logi, chociaz nie wiem czy zrobione w tym trybie i z tego uzytkownika beda przydatne :/

 

• http://wklej.org/id/1017856/txt/ - OTL
• http://wklej.org/id/1017858/txt/ - Extras
• http://wklej.org/id/1017860/txt/ - GMER

 

[Landuss]

Logów w żadnym wypadku nie wolno robić z konta Administratora. Mają być zrobione z konta zainfekowanego użytkownika. Także logi dałeś złe bo nie widzimy obiektów infekcji z tego konta gdyż każde konto ma inne rejestry.

 

Wejdź w tryb awaryjny z obsługą wiersza polecenia i wtedy uruchom OTL na prawidłowym koncie podając właściwe logi.

[beyondZork]

Ok, przesylam logi z wymaganego konta. Przepraszam, ze trwalo to tak dlugo.

 

• http://wklej.org/id/1019563/ - OTL
• http://wklej.org/id/1019564/ - Extras
• http://wklej.org/id/1019565/ - GMER

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\ja\Dane aplikacji\skype.dat
C:\Documents and Settings\ja\Dane aplikacji\skype.ini
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Avg7
C:\Documents and Settings\All Users\Dane aplikacji\Kazaa Lite
C:\Documents and Settings\ja\Dane aplikacji\Kazaa Lite
 
:OTL
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKU\S-1-5-21-789336058-682003330-486661836-1003\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKU\S-1-5-21-789336058-682003330-486661836-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. System zostanie odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[beyondZork]

Dzieki wielkie picasso, Landuss - pomoglo. Przesylam nowy skan:

http://wklej.org/id/1021688/ - OTL

[picasso]

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Przedstaw raport, jeżeli coś zostanie wykryte.

 

 

 

.

[beyondZork]

Ok, raport:

http://wklej.org/id/1022605/

[picasso]

1. Usuń co wykrył program. Dodatkowo, na Twojej liście zainstalowanych widać wpis śmiecia P2P Networking i to do deinstalacji.

 

2. Wymiana programów zabezpieczających i skanerów. Jedziesz na archaicznym Sunbelt Personal Firewall (silnik z 2007) i niezbyt nowej Avira AntiVir Personal, co na razie odinstaluj, na końcu po wszystkich aktualizacjach zastąpisz czymś nowoczesnym. Usuń także stare skanery online Kaspersky Online Scanner, Skaner on-line mks_vir oraz archaizm HijackThis 1.99.1.

 

3. Pełna aktualizacja systemu (katastrofalny poziom stanu Windows Update) i poniżej wyliczonych aplikacji: KLIK. Wg raportu są tu wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java™ 6 Update 30

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9

"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"ENTERPRISE" = Microsoft Office Enterprise 2007

"Foxit Creator" = Foxit Creator

"Foxit Reader_is1" = Foxit Reader 5.0

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

"Mozilla Thunderbird (3.1.20)" = Mozilla Thunderbird (3.1.20)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

W skrócie: deinstalacja wszystkich wystąpień Adobe | Java | Silverlight, a po tym zastąpienie najnowszymi, aktualizacja produktów Mozilla, aktualizacja pakietów Office (instalacja Service Packów) oraz aktualizacja całego Windows (instalacja SP3 + IE8 + reszty łat wydanych po).

 

4. Dodatkowa uwaga na temat kombinacji komunikacyjnej Gadu-Gadu 7.7 + Tlen.pl. Wszystko stare i do niczego. Zainteresuj się alternatywą WTW: KLIK.

 

 

 

.

[beyondZork]

Witam, zabralem sie za to - usunalem to co wykryl Malwarebytes. Pobralem z podanych linkow SP3 i IE8. Po instalacji SP3 i restarcie problem wrocil - znow komputer zablokowany, z tym samym komunikatem. Co robic?

[picasso]

Infekcja tak szybko nabyta? Jakie witryny odwiedzałeś w międzyczasie? Zważ na to, że prawidłowe strony też mogą być zainfekowane, a system niestety nie był tu w najlepszym stanie zabezpieczeń. No to niestety nowe logi OTL potrzebne: Tryb awaryjny z obsaługą Wiersza polecenia > logowanie na zainfekowane konto > robisz logi OTL.

 

 

 

.

[beyondZork]

Spoznione (sila wyzsza, przepraszam) logi:

• http://wklej.org/id/1027139/
  
• http://wklej.org/id/1027142/
  

Zapomnialem zapytac - wszystkie te poprawki, sp3, inne - lepiej posciagac gdzie indziej i instalowac np z przenosnego dysku, zeby uniknac podpinania zainfekowanego komputera do sieci?

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

:Files
C:\Documents and Settings\ja\Dane aplikacji\skype.dat
C:\Documents and Settings\ja\Dane aplikacji\skype.ini

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Zastosuj Windows Worms Doors Cleaner.

3. Wykonaj zaległe deinstalacje: P2P Networking, Sunbelt Personal Firewall, Avira AntiVir Personal.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

Zapomnialem zapytac - wszystkie te poprawki, sp3, inne - lepiej posciagac gdzie indziej i instalowac np z przenosnego dysku, zeby uniknac podpinania zainfekowanego komputera do sieci?

 

Przenośny dysk może też być zainfekowany. Pobieraj normalnie spod Windows, tylko nie wchodź na inne strony niż wymienionych producentów, dopóki nie ukończysz aktualizacji.



.

[beyondZork]

Pliki usuniete, starocie odinstalowane, WWDC stwierdzil, ze jest ok. Skan:

http://wklej.org/id/1031689/

 

Zabieram sie za instalacje poprawek, lat, nowych wersji java, itd. Wybralem bitdefender free av i online armor, takze darmowy. Jakies sensowne to oprogramowanie?

[picasso]

Wszystko usunięte pomyślnie. W ramach ukończenia porządków drobne kroki:

1. Przez SHIFT+DEL dokasuj plik Kerio C:\WINDOWS\System32\drivers\fwdrv.err.

2. W OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

 

Zabieram sie za instalacje poprawek, lat, nowych wersji java, itd. Wybralem bitdefender free av i online armor, takze darmowy. Jakies sensowne to oprogramowanie?

Widzę, że już częściowo zaktualizowałeś Windows, reszta oczywiście nadal aktualna. Bitdefender Free (mniemam, że chodzi o nową wersję pracującą w chmurze, a nie stary skaner "na żądanie") jest nieco okrojony, ale nie mam zastrzeżeń do układu.


.