UKASH Policja - zarażone wszystkie kompy w domu

[smutnyjoe]

Witam. Znajomy zwrócił się do o pomoc, bo zaczęły im na kompach wyskakiwać monity "Policji" z żadaniem 500-złotowego okupu. Jak się okazuje, zarażone zostały 3 komuptery w domu oraz 1 smartfon... zapewne winny był router, bo nie wyobrażam sobie jak inaczej to draństwo dostało się na WSZYSTKIE kompy. Znam się na komputerach nieco lepiej od znajomego, ale nie jestem bynajmniej specjalistą i mogę zrobić tyle, ile wyczytam w necie. A zatem, co nastąpiło potem:

 

- reset routera (ale bez wprowadzenia nowego hasła... nie pomyślałem o tym w ogóle)

- skanowanie kompów wszelakimi skanerami antywir i antymalware, w trybie awaryjnym i normalnym: wyników ZERO, nic nie znalazły

- 1 komp (Win7) był uruchamiany i skanowany Kaspersky Rescue v10 - nic nie znalazł. Na pozostałych kompach programik kaprysił: nie uruchamiał sie w trybie graficznym, a w tekstowym nie chciał skanować

- przeskanowałem wszystkie kompy za pomocą OTL i Gmera, 2 kompy (oba z Win7) przeskanowałem też FRST (z tym, że na jednym z nich w trakcie skanowania 360 Internet Security wyrzucał alert o wykryciu i przechwyceniu trojana: 

program: c:\windows\mod_frst.exe
name: HEUR/QVM11.0.Malware.Gen,11

Trzeciego kompa (z WinXP) nie udało mi się przeskanować - zainstalowany na nim Norton 360 wykrywał w programiku trojana i wywalał go... U siebie mam avasta i nic nie wykrył

- sprawdzałęm metody podawane na necie, m.in. szukanie trojana w rejestrze (że niby podpięty do explorer.exe w Winlogon - nie ma nic)

 

W końcu przywróciłem system na obu kompach z Win7 do stanu sprzed infekcji - teoretycznie zadziałało, bo kiedy ich opuszczałem na obu przeglądarki działały OK, żadnych śladów Policji. Nie udało mi się przywrócić systemu na kompie z XP - nie chciał wspólpracować (najwyraźniej z winy dysku zewnętrznego Samsunga, który był podłączony kiedy znajomy zamykał system - najnowszy punkt przywracania utworzył się jeszcze z podłączonym Samsungiem i teraz przywracanie systemu alarmuje, że nie może wrócić do wcześniejszej daty, bo wspomniany dysk nie był monitorowany albo został odłączony...)

 

Tak więc wrzucam logi tylko z tego właśnie kompa z XP - znajomi dadzą mi znać, gdyby na pozostałe kompy problem wrócił, bo to by pewnie oznaczało, że router znowu jest zarażony. Wtedy wznowię temat i dorzucę kolejne logi.

I jeszcze pytanie: jak pozbyć się tego szajsu ze smartfona?

 

Aha, i NIE używałem Combofix.

 

Z góry dziękuję za wszelką pomoc

 

 

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

przeskanowałem też FRST (z tym, że na jednym z nich w trakcie skanowania 360 Internet Security wyrzucał alert o wykryciu i przechwyceniu trojana:

 

program: c:\windows\mod_frst.exe

name: HEUR/QVM11.0.Malware.Gen,11

 

Trzeciego kompa (z WinXP) nie udało mi się przeskanować - zainstalowany na nim Norton 360 wykrywał w programiku trojana i wywalał go... U siebie mam avasta i nic nie wykrył

Jeśli FRST jest blokowany przez program zabezpieczający, tymczasowo wyłącz rezydenta i dostarcz wymagane logi. OTL jest jednak już za stary i nie skanuje określonych miejsc.

 

 

Jak się okazuje, zarażone zostały 3 komuptery w domu oraz 1 smartfon... zapewne winny był router, bo nie wyobrażam sobie jak inaczej to draństwo dostało się na WSZYSTKIE kompy.

(...)

I jeszcze pytanie: jak pozbyć się tego szajsu ze smartfona?

Też tak sądzę, iż to router był przyczyną. Jeśli chodzi o smartfon, niestety brak narzędzi typu używanego na PC do zrobienia raportów. Jeśli jest tam jakaś infekcja na poziomie smartfona, to nie przychodzi mi nic innego do głowy niż: wyjęcie karty SD, reset do ustawień fabrycznych.

 

 

 

.

[smutnyjoe]

Problem chyba został rozwiązany - znajomemu udało się zmusić opornego kompa do przywrócenia systemu sprzed infekcji. Zrobiłem skan FRST - logi są już zapewne niepotrzebne, ale na wszelki wypadek wrzucam, może Administrator przejrzy w wolnej chwili (i ewentualnie wskaże czy trzeba coś jeszcze z systemem robić)

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Istotnie, brak tu oznak infekcji. Na tym konkretnym komputerze do wykonania tylko akcje kosmetyczne:

 

1. Odinstaluj zbędny McAfee Security Scan Plus. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Run: [] => [X]
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Program Files\mozilla firefox\plugins
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynkowy fixlog.txt. A po tym:

 

2. Usuń używane skanery z F:\tools i popraw DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

.