Wirus Polizia - nie mogę się go pozbyć

[gliceryna]

Witam

Moją sieć 2 komputerów (przewodową) zaatakował wirus "Polizia". Stało się to zaraz po przeniesieniu linii z Netii do Orange. Poczytałam trochę na tym forum i zabezpieczyłam router przed dostępem z zewnątrz (bo nie był zabezpieczony) - test dał wynik zabezpieczenia pozytywny.

Następnie przygotowałam płytę "Kaspersky Rescue Disc 10" i przeskanowałam nią pierwszy komputer (system: Windows Vista 32) - z dobrym skutkiem: wirus się już nie ujawnia w żadnej przeglądarce (firefox, IE)

Natomiast drugi komputer (system: Windows 7 64) zachowuje się inaczej: nie ma dostępu do trybu awaryjnego, nie wykazuje żadnych punktów przywracania systemu (choć wcześniej jakieś były), skanowanie z bootowalnej płyty Kaspersky Rescue Disc 10 nic nie daje - po każdym uruchomieniu którejkolwiek przeglądarki (firefox, IE) zaraz odbywa się przekierowanie na stronę "polizii" z wezwaniami do zapłaty itd. Co ciekawe, gdy wybiorę w przeglądarkach opcję "okno prywatne" - komunikacja z Internetem odbywa się normalnie, tzn. nie ma żadnych przekierowań na strony "polizii".

Czy mogę prosić o jakąś pomoc w tej sprawie?

Dziękuję.

 

Czynności, któe już wykonałam:

1. Odinstalowałem Alcohol 120 i zdezaktywowałam sterownik SPDT. Ale nie ruszałem Nero 12 i UltraISO Premium - są nadal zainstalowane.

2. Wykonałem obowiązkowe skany - wyniki załączam. Przy skanowaniu narzędziem GMER domyślnie zaznaczyła się opcja "Quick scan", a nie żadne litery dysków. niezaznaczone pozostało tez okienko "3rd party"

FRST.txt

Addition.txt

Extras.Txt

Shortcut.txt

OTL.Txt

GMER.txt

[gliceryna]

Nowa informacja.

Otworzyłam przeglądarkę IE, żeby sprawdzić czy nadal przekierowuje na "polizię" i... przekierowała mnie na msn.com

Wyłączyłąm ją. Włączyłam firefoxa i... utrzymał się na startowej stronie onet.pl. Nie przekierował na "polizię" ani nic innego.

Wróciłam do IE i - już nigdzie nie przekierowuje. Zobaczymy co będzie po restarcie systemu.

 

Po restarcie wygląda na to, że przeglądarki działają jak należy. Z tym, że opcja uruchamiania w trybie awaryjnym nie działa nadal.

[picasso]

Moją sieć 2 komputerów (przewodową) zaatakował wirus "Polizia". Stało się to zaraz po przeniesieniu linii z Netii do Orange. Poczytałam trochę na tym forum i zabezpieczyłam router przed dostępem z zewnątrz (bo nie był zabezpieczony) - test dał wynik zabezpieczenia pozytywny.

(...)

Natomiast drugi komputer (system: Windows 7 64) zachowuje się inaczej: nie ma dostępu do trybu awaryjnego, nie wykazuje żadnych punktów przywracania systemu (choć wcześniej jakieś były), skanowanie z bootowalnej płyty Kaspersky Rescue Disc 10 nic nie daje - po każdym uruchomieniu którejkolwiek przeglądarki (firefox, IE) zaraz odbywa się przekierowanie na stronę "polizii" z wezwaniami do zapłaty itd. Co ciekawe, gdy wybiorę w przeglądarkach opcję "okno prywatne" - komunikacja z Internetem odbywa się normalnie, tzn. nie ma żadnych przekierowań na strony "polizii".

Skoro po tej operacji nadal występowały objawy infekcji, to problemem mogło być cache DNS lub przeglądarki. Ale nie tylko to, w dostarczonych logach widać infekcje (wpis Cudax kierujący do nircmd.exe oraz launchie.vbs uruchamiany via Harmonogram zadań). Jeśli chodzi o Tryb awaryjny, FRST nie notuje żadnych uszkodzeń klucza SafeBoot - co konkretnie się dzieje podczas startu do awaryjnego, co widzisz? Jeśli zaś chodzi o Przywracanie systemu, to wg FRST jest obecnie jeden punkt, może starsze system po prostu usunął (magazyn kopii cieniowych nie jest nieograniczony i w którymś momencie Windows usuwa starsze punkty, by zrobić miejsce na nowe).

 

==================== Restore Points =========================
 

17-10-2014 10:38:36 Windows Update

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-77345471-4210661780-3767852875-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-77345471-4210661780-3767852875-1000\...\Run: [Cudax] => C:\Users\Marek\AppData\Roaming\Cudax\nircmd.exe [44032 2013-08-11] (NirSoft)
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
Task: {086E1680-CA4B-4D08-A809-47D47B9A8E8B} - System32\Tasks\{33E1FCF9-90D8-4A08-9ADB-366A1C0864E4} => C:\Kulki\KULKI.EXE
Task: {0B7FB4A3-8942-4B64-821B-570874E740F4} - System32\Tasks\{BF098A72-4DC7-4733-A173-F0C1F09242C0} => C:\Kulki\KULKI.EXE
Task: {2006BCE0-66D4-4354-A584-315FD8A2EB95} - System32\Tasks\{59D21868-DC83-49AE-81E9-70F72966D02F} => C:\Kulki\KULKI.EXE
Task: {2203407D-E657-408C-8B2B-913178081620} - System32\Tasks\4677 => Wscript.exe C:\Users\Marek\AppData\Local\Temp\launchie.vbs //B 
Task: {5271D894-3698-42F0-B898-B9920D0A9B55} - System32\Tasks\{31849660-5E81-45FB-AC54-924A95C2711D} => I:\GRY\TDU2\TestDrive2.exe
Task: {627259C5-0343-4577-B97B-086A4206BABB} - System32\Tasks\0 => Iexplore.exe 
Task: {66F37C0B-441E-4224-AEB6-30E1E9B0DBA0} - System32\Tasks\{F80B26EB-70BA-4337-82EC-329817C85F1F} => C:\Kulki\KULKI.EXE
Task: {739DAB90-3F99-48BC-B00E-23184C18953E} - System32\Tasks\{EE5184C3-9D62-44D0-B6A1-C9C1898098E4} => C:\Kulki\KULKI.EXE
Task: {79985907-3E1B-4606-AF32-2C8577FF2E3B} - System32\Tasks\{EF9CF115-B2EC-42A9-85A8-9533A7FF3F95} => C:\Kulki\KULKI.EXE
Task: {A7D6EC14-AA3F-4E80-AD03-2BE89C5EEDE5} - System32\Tasks\{B8142478-C730-4FCD-990C-9EDA627F2883} => C:\Program Files (x86)\Namco Bandai Games\Hexodius\Hexodius.exe
Task: {E583B98A-EEAB-4A8C-9442-7C85CADC5A1B} - System32\Tasks\VisualBeeRecovery => C:\Users\Marek\AppData\Local\VisualBeeExe\VisualBeeRecovery.exe 
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S4 sptd; System32\Drivers\sptd.sys [X]
URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - yandex.ru-122035 URL = http://www.google.com/search?hl=pl&q={searchTerms}&rlz=1I7MXGB_plPL523
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\Marek\AppData\Local\Google
C:\Users\Marek\AppData\Roaming\Cudax
C:\Users\Marek\AppData\Roaming\Opera
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURL" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: copy /y C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\ps7ec1p7.default\prefs.js C:\Users\Marek\Desktop\prefs.js
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Avira Browser Safety) trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Na Pulpicie powstał też plik prefs.js - shostuj gdzieś i podaj do tego link.

 

 

 

.

[gliceryna]

Witam

Wykonałam wszystkie czynności.

Co do braku możliwości wejścia w tryb awaryjny - podczas inicjacji systemu wciskanie klawisza F8 nie daje żadnego efektu. Chyba, że dla Windows 7 robi się to jakoś inaczej - wtedy przepraszam za zawracanie głowy.

Załączam oczekiwane pliki.

Dziękuję.

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

AdwCleanerR1.txt

AdwCleanerS1.txt

AdwCleanerR2.txt

AdwCleanerS2.txt

[picasso]

Dzięki za plik prefs.js, pobrałam więc link usuwam. Zadane operacje pomyślnie wykonane. Zostały już tylko czynności końcowe, ale przed tym należy wyjaśnić:

 

 

Co do braku możliwości wejścia w tryb awaryjny - podczas inicjacji systemu wciskanie klawisza F8 nie daje żadnego efektu. Chyba, że dla Windows 7 robi się to jakoś inaczej - wtedy przepraszam za zawracanie głowy.

Czy klawisz przyciskasz dostatecznie szybko (już na ekranie BIOS-podobnym) i sekwencyjnie (nie tylko raz)? Czy na pewno ten komputer nie ma wyasygnowanego innego klawisza funkcyjnego wchodzenia do awaryjnego?

 

 

 

.

[gliceryna]

Przejście do trybu awaryjnego zadziałało z klawiszem F5 i - dla rozwinięcia opcji - F8. Dziękuję.

[picasso]

Finalizujemy sprawy:

 

1. Skasuj z Pulpitu foldery Aanaliza + Stare dane programu Firefox. Następnie zastosuj DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. I zaktualizuj wersję Java 7 Update 55.

[gliceryna]

Dziękuję, wszystko zrobione. Czy mogę usunąć z pulpitu (wykasować) plik prefs.js?

DelFix.txt

[picasso]

Potwierdzam wykonanie DelFix. Możesz skasować plik C:\DelFix.txt. Oczywiście prefs.js z Pulpitu do śmieci.

 

Temat rozwiązany. Zamykam.