Skocz do zawartości

Malware Polizja 500 zł nietypowy


Rekomendowane odpowiedzi

Trafiłem na wyjątkowo paskudny (przynajmniej jak dla mnie) przypadek malware typu Ukash / Weelsof . Standardowo uruchamia się aplikacja, która chce wyłudzić 500zł. Wszelkie sposoby podawane przez to co wyszukiwałem na Googlach zawiodły. Próbowałem wyłączyć go za pomocą Autoruns, ale nie żaden program nie wydawał mi się tym złośliwym (nie było dziwnych nazw typu 13245235.exe albo explorer_new.exe). W rejestrze nie znalazłem wpisów, które były podawane na różnych stronach jako działalność tego programu. Odpalałem też ComboFix'a: ten się tylko wypakował ale nie uruchomił. Skanowałem komputer Kaspersky'im Rescue (live cd) i używałem Kaspersky WindowsUnlocker. Wszystko zawiodło i dlatego pisze tutaj.

 

EDIT: Aha zapomniałem dodać: system nie uruchamia się w trybie awaryjnym. Tj. wciskam F8 podczas bootowania, ładują się sterowniki system się odpala i od razu zamyka. Pierwszy raz się z takim czymś spotkałem.

 

log z frst64:

http://pastebin.com/CgZshydS

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie mogę udzielać porad, nie jestem adminem, ale chyba to mogę napisać:
Ludzie nie używajcie sami ComboFixa. Tu jest dokładnie opisane dlaczego: https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/
Poza tym gdy w regulaminie proszą o logi z 3 programów to należy wrzucić logi z 3 programów, a nie 1. Czytać, wykonywać i nie utrudniać picassowi zadania.

 

EDIT:  Przepraszam za spam, powinienem napisać prywatną wiadomość. Człowiek najpierw robi, potem myśli. 

Odnośnik do komentarza

Zulko

 

Poza tym gdy w regulaminie proszą o logi z 3 programów to należy wrzucić logi z 3 programów, a nie 1. Czytać, wykonywać i nie utrudniać picassowi zadania.

Tu jest inna sytuacja - przecież on ma zablokowany Windows. Log jest zrobiony z poziomu środowiska zewnętrznego WinRE. FRST w takim środowisku działa inaczej i tworzy tylko jeden log. GMER w ogóle nie działa w WinRE, a OTL tylko z płyty OTLPE (i w tym przypadku można go sobie darować, bo OTL na tej płycie to straszny archaizm).

 

 

Ragdor

 

Odpalałem też ComboFix'a: ten się tylko wypakował ale nie uruchomił. (...) Chyba wiem czemu ComboFix się nie odpalił: w systemie cały czas działał avast i pewnie go zablokował.

No tak, ale w jakim trybie Windows go próbowałeś uruchomić? Jeśli z "zewnątrz" to zapomnij o tym, ComboFix działa tylko spod Windows. A jeśli spod Windows, to równie dobrze infekcja go mogła zablokować. I ComboFix tu w ogóle nie jest potrzebny.

 

System ma zablokowane wszystkie tryby, gdyż działa tu wariant infekcji modyfikujący usługę Instrumentacji Windows (Winmgmt). Ponadto, są i ślady zainstalowanego adware nabytego przez "downloadery" typu "Softonic": KLIK, ale kompleksowym usuwaniem adware się zajmiemy, gdy już pomyślnie do Windows się zalogujesz, gdyż logi pobrane spod Windows są znacznie bogatsze. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\MODEL\...\Policies\Explorer: []
Startup: C:\Users\MODEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk
S2 Update webget; C:\Program Files (x86)\webget\updatewebget.exe [317720 2014-05-25] ()
S2 Util webget; C:\Program Files (x86)\webget\bin\utilwebget.exe [317720 2014-05-27] ()
S2 Winmgmt; C:\ProgramData\D7545E79C617DF181983FA1D0BF757BD\8zrjmqlsod.dot [332024 2014-05-25] (Microsoft Corporation)
S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-12] (StdLib)
C:\ProgramData\RUNDLL32.EXE-*.txt
C:\ProgramData\D7545E79C617DF181983FA1D0BF757BD
C:\ProgramData\systemk
C:\Program Files (x86)\Settings Manager
C:\Users\MODEL\AppData\Local\cache
C:\Users\MODEL\AppData\Local\Temp\*.exe
C:\Users\MODEL\Downloads\SoftonicDownloader_dla_winamp-beta.exe
C:\Users\MODEL\Downloads\Winamp(12928).exe
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. System zostanie odblokowany, zaloguj się w Trybie normalnym. Zrób nowy log FRST z opcji Scan, mają powstać trzy logi (pola Addition i Shortcut zaznaczone). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Picasso to kobieta, nie wiem, czy z tym zdjęciem jest coś nie tak? Przecież widać że to kobieta...    wystarczy popatrzeć :P

Jeśli tak, to przepraszam, ale zdjęcia mogą kłamać. Ty raczej nie jesteś Posejdonem(???), a ja nie jestem JgTigerem :P

 

Zulko

 

Tu jest inna sytuacja - przecież on ma zablokowany Windows. Log jest zrobiony z poziomu środowiska zewnętrznego Windows. FRST w takim środowisku działa inaczej i tworzy tylko jeden log. GMER w ogóle nie działa w WinRE, a OTL tylko z płyty OTLPE (i w tym przypadku można go sobie darować, bo OTL na tej płycie to straszny archaizm).

 

Nie czytałem loga, gdyż obecnie nie ufam żadnym przeklejkom ze stron zewnętrznych. Zwracam honor.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...