Infekcja oprogramowaniem Shield Protection

[papcio109]

Surfując po necie avast zaczął pokazywać komunikaty, że zablokował złośliwe adresy URL, po 3 takim komunikacie, wyszedłem całkowicie z przeglądarki i na pasku zadań pojawiła się 2 czerwona tarcza z x (1 jest zawsze ponieważ mam wyłączone aktualizacje). Komunikat z tarczy był po angielsku i informował, że zainstalowany został Spyware i trzeba go unieszkodliwić. Uruchomił się program Shield Protection, o którym nigdy wcześniej nie słyszałem i nie używałem go. Pasek postępu leciał do przodu infekując pliki i kradnąc hasła z przeglądarki, nie dało się go wyłączyć więc najpierw zresetowałem komputer, ale program już przy starcie znowu się uruchomił i blokował dostęp nawet do menadżera zadań, więc odłączyłem komputer od internetu i prądu, co zrobić dalej ponieważ pierwszy raz mam do czynienia z czymś takim i jestem zielony w tym temacie. Nie chciałbym stracić danych i formatować dysków :/

[picasso]

zresetowałem komputer, ale program już przy starcie znowu się uruchomił i blokował dostęp nawet do menadżera zadań, więc odłączyłem komputer od internetu i prądu, co zrobić dalej ponieważ pierwszy raz mam do czynienia z czymś takim i jestem zielony w tym temacie

 

Są tu potrzebne logi do wychwycenia infekcji i jej usunięcia. Wybierz jedno z dwóch:

 

1. Jeśli nie chcesz włączać systemu: pobierz i wypal płytę OTLPE, z poziomu tej płyty zrób logi z OTL.

2. Jeśli włączysz system: pobierz OTL w wersji COM i uruchom w celu dostarczenia raportów.

 

 

 

 

.

[papcio109]

Próbowałem uruchomić go w trybie awaryjnym, ale wyskakuje komunikat "please click enter to continue loading sptd.sys." Po kliknięciu i bez kliknięcia czarny ekran i nic się nie dzieje. Zostaje chyba tylko opcja z płytą.

[picasso]

Próbowałem uruchomić go w trybie awaryjnym

 

Spróbuj uruchomić w trybie normalnym a nie awaryjnym.

[papcio109]

Spróbuj uruchomić w trybie normalnym a nie awaryjnym.

 

Uruchamia się, ale nic nie mogę zrobić wyskakuje okno programu i i jak się domyślam infekuje pliki.

Zrobiłem log wg. instrukcji, link poniżej.

OTL.Txt

[picasso]

Korzystaj z funkcji Załączniki. Pobieranie prostego loga tekstowego z serwisów typu Megaupload to jest niepotrzebna komplikacja. Muszę za każdym razem czekać. Daj moment na analizę. Swój post tu zaraz doedytuję.

 

EDIT: Coś mało składników tu widzę, żadnego wejścia w starcie.

 

1. Z poziomu płyty OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:OTL 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch"
O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Documents and Settings\Michał\Dane aplikacji\Complitly\Complitly.dll (SimplyGen) 
 
:Files
C:\Documents and Settings\Michał\Dane aplikacji\Complitly
C:\Documents and Settings\All Users\Dane aplikacji\eL13602NgEdK13602
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Run Fix. Program wygeneruje log z usuwania, ten log będziesz prezentował.

 

2. Spróbuj zastartować normalnie do Windows i wygeneruj nowy log z OTL (wszystkie opcje ustawione na Użyj filtrowania, włącznie z "Rejestr - skan dodatkowy", by pozyskać Extras). Dołącz też log z wynikami usuwania z punktu 1.

 

 

 

 

.

[papcio109]

Ok, log zrobiony, komputer odpalił i na razie nic nie wyskakuje

 

http://wklej.org/id/575646/

 

Przeskanowane

OTL.Txt

Extras.Txt

Edytowane 12 Sierpnia 2011 przez picasso
Oczyszczam temat. //picasso

[picasso]

Log z OTL zrobiony spod Windows wykazuje różnicę, teraz się pokazał dodatkowy wpis startu infekcji:

 

O4 - HKCU..\Run: [Erikecebezu] C:\WINDOWS\olesx1.dll (WiQuest Communications, Inc.)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:OTL
O4 - HKCU..\Run: [Erikecebezu] C:\WINDOWS\olesx1.dll (WiQuest Communications, Inc.)
O4 - HKCU..\Run: []  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-07-11 22:05:25 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\716qul0c.default\searchplugins\askcom.xml
[2011-05-18 15:06:52 | 000,000,632 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\716qul0c.default\searchplugins\startsear.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

Klik w Wykonaj skrypt. System będzie restartowany. Po restarcie otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL do oceny (Extras już nie potrzebuję po raz drugi) oraz dołącz log z wynikami usuwania.

 

 

 

 

.

[papcio109]

Gotowe

OTL.Txt

08122011_133111.txt

[picasso]

Wpis był usuwany:

 

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Erikecebezu deleted successfully.
C:\WINDOWS\olesx1.dll moved successfully.

... a mimo to nadal go widać (ale już jako pusty).

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Erikecebezu]  File not found

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Gdy narzędzie ukończy, zastosuj funkcję Sprzątanie, co zlikwiduje z dysku kwarantannę OTL oraz sam program jako taki.

 

2. Wykonaj pełne skanowanie systemu za pomocą programu Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile coś zostanie wykryte, pusty log jest bezużyteczny).

 

 

 

.

[papcio109]

6 zainfekowanych, rozumiem usunięcie wystarczy ?

mbam-log-2011-08-12 (13-06-55).txt

[picasso]

5 zainfekowanych, częścią tej infekcji "Shield Pro" są tylko elementy wyliczane w sekcji "Zainfekowanych plików". Szósty wynik nie oznacza infekcji, wyłączone powiadomienie Centrum zabezpieczeń to jest tylko "potencjalnie niepożądana modyfikacja".

 

1. Za pomocą programu Malwarebytes' Anti-Malware oczywiście usuń te obiekty infekcji.

 

2. Ważne aktualizacje (pod kątem łatania luk). Na Twojej liście zainstalowanych widać:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"avast5" = avast! Free Antivirus
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)

- Wg dat Avast w logu to nie jest najnowsza wersja (i jeszcze robiona przez nakładkowe aktualizacje na wersję 5). Proponuję odinstalować całość, a następnie pobrać i zamontować najnowszą wersję.

- Pozostałe wyliczone programy także należy zaktualizować: INSTRUKCJE.

 

3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Zgłoś się tu z podsumowaniem wykonania wszystkich zadań.

 

 

 

.

[papcio109]

Wszystko działa, wielkie dzięki za pomoc