Policja - zablokowany komputer i biały ekran

[gregoryo4]

Witam. Znajomemu wczoraj wyskoczył komunikat że komputer został zablokowany przez Policję, a następnie pojawił się biały ekran.

System operacyjny to Windows XP Professional x86. Poniżej podaję logi

OTL.Txt

Extras.Txt

[picasso]

Logi zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora:

 

Computer Name: GRZEGORZ-B8E86D | User Name: Administrator | Logged in as Administrator.

 

Infekcji oczywiście nie widać, bo infekcja jest na innym koncie. Przejdź w Tryb awaryjny z Wierszem polecenia, zaloguj się na konto Grzegorz, w linii komend wklep G:\OTL.exe i ENTER. Dostarcz wynikowe logi.

 

 

 

.

[gregoryo4]

Oto logi

Extras.Txt

OTL.Txt

[picasso]

1. Zaloguj się na konto Administrator i zapisz w Notatniku plik o treści:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\Grzegorz\Dane aplikacji\skype.dat
C:\Documents and Settings\Grzegorz\Dane aplikacji\skype.ini
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
C:\Documents and Settings\All Users\Dane aplikacji\G DATA
 
:OTL
IE - HKU\S-1-5-21-1935655697-2049760794-839522115-1003\..\SearchScopes\{55F4DAC6-8407-4BA3-8F3D-15926CE5B2BF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=74FECC9E-EBD3-4D4B-8C51-84D2B3EBF1B1&apn_sauid=C8D4C54E-A560-4E34-82C3-D5C7CF628685
O4 - HKLM..\Run: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Reg Error: Value error.)
SRV - File not found [Auto | Stopped] -- c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe -- (LVPrcSrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV561AV.SYS -- (PID_0928)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lvusbsta.sys -- (LVUSBSta)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LVMVDrv.sys -- (LVMVDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LVcKap.sys -- (LVcKap)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik umieść w ścieżce neutralnej a nie ścieżce konta, np. wprost na C:\.

 

2. Zaloguj się na konto Grzegorz. W linii komend wpisz polecenie notepad i ENTER. W Notatniku otwórz plik przygotowany w punkcie 1. Uruchom w linii komend OTL, w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika, klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny (blokada zniknie). W katalogu G:\_OTL powstanie log z wynikami usuwania.

 

3. Odinstaluj adware i zbędne aplikacje:

- Przez Dodaj/Usuń programy: Ask Toolbar, Ask Toolbar Updater, Logitech Desktop Messenger.

- Google Chrome: w Rozszerzeniach powtórz deinstalację Ask Toolbar, w zarządzaniu wyszukiwarkami przestaw domyślną na Google, po tym usuń z listy Ask.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.

 

 

 

.

[gregoryo4]

Bardzo dziękuję za pomoc chyba wszystko jest w porządku ale dla pewności przesyłam logi tylko dwa ponieważ trzeciego nie udało mi się wysłać ponieważ wyskoczył komunikat że nie mam uprawnień do wysyłania tego typu plików

OTL.Txt

AdwCleanerS1.txt

[picasso]

trzeciego nie udało mi się wysłać ponieważ wyskoczył komunikat że nie mam uprawnień do wysyłania tego typu plików

 

Pomoc forum (link na spodzie strony) oraz zasady działu to wyjaśniają. W załącznikach można doczepiać tylko pliki *.TXT, a ten jest w formacie *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku.

 

Wszystko zrobione. Kończymy:

 

1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{27E1BE87-731E-4999-883B-A7CC41616FF8}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{27E1BE87-731E-4999-883B-A7CC41616FF8}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEl skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń stare wtyczki Adobe i Java (to m.in. przyczyną infekcji), zaktualizuj przeglądarki i resztę poniżej wyliczoną: KLIK. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 15
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Google Chrome" = Google Chrome 26.0.1410.64
"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

 

5. Antywirus ma kwalifikację na wymianę. Starawy ESET Smart Security skombinowany z crackiem TNod User & Password Finder. Naprawdę nie ma co siedzieć na takich rzeczach, darmowy najnowszy Avast nie jest gorszy od starego zacukrzonego Eseta. Poza tym, zainteresuj się takimi motywami zabezpieczeń jak SandBoxie.

 

 

 

.