Zablokowany komputer z powodu naruszenia prawa polskiego, uKash, 500 zł itd.

[pgdino]

Witam!

To mój pierwszy post na tym zacnym forum. Temat, jak widzę, dość znany ostatnio na forum. Do rzeczy.

System: Windows XP Professional, wersja 2002, SP 3. Partycja systemowa (nietypowo) I: (jak Irena).

Żadnych antywirów na pokładzie, zapora windowsowa wyłączona. Parę dni temu skanowany Spybotem Search&Destroyem (okazjonalnie).

Około południa przeglądając Operą sieć wyskoczyło znajome okno z haraczem. Jeszcze muzyka z grajlisty leciała ale żadnej reakcji na mysz czy klawisze. Po resecie to samo. Szukając problemu wpierw trafiłem tutaj, ale z lenistwa i obawy o komplikacje kontynuowałem szukać gdzie indziej. Tutaj: http://www.cert.pl/news/5483 trafiłem na generator kodów do tego szajsu i na odłączonym kablu sieciowym popróbowałem kilka razy. Albo źle wpisałem, albo co innego, ale skutku nie było żadnego. Probówałem też jakichś zmian w rejestrze, ale nie znalazłem wskazywanych kluczy. Potem zauważyłem przypadkowo w katalogu I:\Doc&Set\Użytk.\DaneApli.\ utworzony dziś koło południa katalog 'hellomoto' z dwoma plikami .dat. Zmieniłem mu nazwę i uruchomiłem stary system. Powoli uruchamiając się, Winda doszła do wyświetlenie tapety pulpitowej bez żadnych ikon czy paska menu. Widocznie Eksplorator został ubity, ale nie załadował się sam program wyłudzający. Wróciłem plikowi poprzednią nazwę a następnie uruchomiłem zainfekowany system ponownie, ale w trybie awaryjnym z obsługą sieci i zalogowałem się na konto administratora. Zapuściłem skanowanie OTL-em (w mojej wersji programu było jeszcze "Pomiń znane dobre pliki", czego nie zaznaczyłem) , GMER-em oraz SecurityCheckiem i wklejam w załącznik logi. W razie nieścisłości proszę o wyrozumiałość świeżakowi :-)

Pozdrawiam znakomitych znawców tematu oraz solenizantów :-)

OTL.Txt

Extras.Txt

GMER_log.txt

checkup.txt

[Landuss]

1. Wejdź w panel usuwania programów i odinstaluj: StartSearch Toolbar

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- I:\WINDOWS\system32\3Com_DMI\3CDMINIC.EXE -- (3ComDMIService)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\viamraid.sys -- (viamraid)
DRV - File not found [Kernel | On_Demand | Unknown] -- I:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pxtdapow.sys -- (pxtdapow)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\BCAItdi.sys -- (BCAITDI)
O2 - BHO: (no name) - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - No CLSID value found.
O4 - HKLM..\Run: [verclsid] I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1643\verclsid.exe ()
 
:Files
I:\Documents and Settings\PatrykG\Dane aplikacji\hellomoto
I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1643
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[pgdino]

Witam ponownie.

W końcu znalazłem czas i odpaliłem tego XP-ka w trybie awaryjnym logując się na konto Administrator. Wykonałem:

1. StartSearch Toolbar usunięty

2. AdwCleaner odpaliłem i myśląc, że coś się nie wygenerowało po restarcie uruchomiłem ponownie. Komp sie nie zrestartował więc znowu odpaliłem. Wszystkie logi zbiorczo wkleiłem do pliku i załączyłem.

3. Odpaliłem OTL ze skryptem ale znów zdziwiło mnie, że restart nie wrócił do systemu. Dalej - przeskanowałem. Wynik skryptu (cyferki.log.txt) i skanu załączyłem.

Na razie nie uruchamiam w normalnym trybie, poczekam na weryfikację logów.

I dwie kwestie:

1. Dziwne zachowanie: kiedy AdwCleaner za drugim razem odpalony i OTL po wykonaniu skryptu rebootowały system, to po zamknięciu wizualnym Windowsa pozostawał czarny ekran, nawet BIOS się nie ładował - system do końca się nie wyłączył, czy jak? Coś to znaczy, czy olać?

2. Czy jest sposób na zapobieganie tego typu infekcjom czy niestety leczenie objawowe? Przejrzałem u was jakąś dyskusję o tym Weelsofie i z tego wynikało, że prawdopodobnie gdzieś musiałem przypadkowo kliknąć jakiś link (ostatnią stroną odwiedzaną tuż przed infekcją była strona jakiejś parafii :-)). Czy jakieś oprogramownie antywir. dałoby radę takie kiepskie linki przewidzieć?

OTL.Txt

07102012_151714.log.txt

AdwCleaner_logi.txt

[Landuss]

Wszytko wykonane. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

1. Dziwne zachowanie: kiedy AdwCleaner za drugim razem odpalony i OTL po wykonaniu skryptu rebootowały system, to po zamknięciu wizualnym Windowsa pozostawał czarny ekran, nawet BIOS się nie ładował - system do końca się nie wyłączył, czy jak? Coś to znaczy, czy olać?

 

Rozumiem, że to był jednorazowy wybryk? Jeśli tak to olać.

 

2. Czy jest sposób na zapobieganie tego typu infekcjom czy niestety leczenie objawowe? Przejrzałem u was jakąś dyskusję o tym Weelsofie i z tego wynikało, że prawdopodobnie gdzieś musiałem przypadkowo kliknąć jakiś link (ostatnią stroną odwiedzaną tuż przed infekcją była strona jakiejś parafii :-)). Czy jakieś oprogramownie antywir. dałoby radę takie kiepskie linki przewidzieć?

 

Po prostu uważaj gdzie wchodzisz, w co klikasz, co pobierasz. Oprogramowanie zabezpieczające jest tutaj na dalszym planie.