Wirus INTERPOL

[3MOON]

Witam

 

Win XP Pro

Nie wiem właściwie od czego zacząć bo po wejściu do systemu pojawia się okno przeglądarki z fałszywym komunikatem, które namawia do zapłaty kary w celu odblokowania komputera. Jak chcę wejść do trybu awaryjnego to mam restart. Kilka dni temu miałem tylko biały ekran po wejściu do systemu więc przeskanowałem system dr.cureit i ten znalazł m.in coś o nazwie winblock. Dokładnie nie pamiętam bo po usunięciu infekcji wszystko wróciło do normy. Jak wszedłem do systemu to przeskanowałem go MBAMem. Ten także usunął kilka infekcji. Myślałem więc, że już jest ok ale mam brzydki nawrót.

[muzyk75]

Zacznij od wykonania skanów OTL, FRST, GMER. Logi wygenerowane przez te programy dołącz do swojego posta.

[3MOON]

muzyk 75 sugestie godne nagrody Nobla!

 

Udało się jakimś cudem dostać do systemu więc wrzucam logi:

 

http://pastebin.com/q9v48RHw

http://pastebin.com/6v1k1GnC

http://pastebin.com/VK61DYjn

http://pastebin.com/CPUtCQzq

http://pastebin.com/2pZ9hcYv

[picasso]

To był prawdopodobnie inny rodzaj komunikatu blokującego. Nie ma oznak czynnej infekcji, są tylko źle doczyszczone resztki poprzedniej blokady. Poza tym, jest notowany jakiś problem z WMI:

 

==================== Security Center ========================
 

AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D}

Could not list Security Center items. Check WMI.

 

... oraz błędy uszkodzonej struktury systemu plików:

 

Error - 2013-10-23 17:09:53 | Computer Name = MARTYKA-82152A8 | Source = Ntfs | ID = 262199

Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku.

Uruchom narzędzie chkdsk na woluminie C:.

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Winlogon: [shell] explorer.exe 
C:\Documents and Settings\Kasia\Dane aplikacji\settings.ini
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
S0 viaxbus; No ImagePath
CMD: del /q C:\REMOVE_THIS_FILE.livecd.swap
CMD: sc stop winmgmt
CMD: rd /s /q C:\WINDOWS\system32\wbem\Repository
CMD: chkdsk /f /r

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (zaznacz, by ponownie powstał plik Addition). Dołącz plik fixlog.txt.

 

 

 

.

[3MOON]

Dzięki za odpowiedź

 

Poczytałem trochę i widzę, że to już prawdziwa plaga. Trochę żły tytuł tematu bo powinno być raczej coś w rodzaju UKASH

 

Zapomniałem napisać, że przed zrobieniem logów puściłem jeszcze eset online i wyrwał coś z:

 

C:\Documents and Settings\Kasia\Dane aplikacji\Other.res odmiana zagro?enia Win32/Kryptik.BMTP ko? troja?ski wyleczony przez usuni?cie - poddany kwarantannie
C:\Documents and Settings\Kasia\Ustawienia lokalne\Temp\jcaiwrflutnaoytceqmnvmsrdwxg.exe odmiana zagro?enia Win32/Kryptik.BMTP ko? troja?ski wyleczony przez usuni?cie - poddany kwarantannie
 

Zrobiłem to bo nie wiem z jakich powodów system nagle się odpalił bez tej stronki. Korzystałem więc z okazji.

 

Jeśli chodzi o infekcje to wyglądała/dała tak:

 

http://zapodaj.net/24d31ca0cb538.jpg.html

 

Nie wiem czy to dobry hosting?

 

szukałem kabelka do telefonu a zapomniałem, że laptop, z którego piszę ma bluetooth

 

Logi:

http://pastebin.com/L9Q6rchR

http://pastebin.com/1bfr6Muh

http://pastebin.com/RRcu5HqC

 

Sorki, że tak na zewnątrz wrzucam ale mam tylko 5,22KB do wykorzystania. Musiałem coś chyba nabroić