Blokada komputera

[KapitanBomba]

Wszystkim znany problem dopadł niestety również mnie

Po uruchomieniu systemu wyskakuje okno "Komputer zablokowany z powodu naruszenia polskiego prawa"

Przeskanowałem system OLT w trybie awaryjnym z obsługą sieci, oto logi

 

Pozdrawiam i z góry dzięki za pomoc ; ]

OTL.Txt

Extras.Txt

[picasso]

Logi z OTL zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: BARTOSZ-428D674 | User Name: Administrator | Logged in as Administrator.

 

Rejestry i foldery kont są różne, co ma wybitny wpływ na zawartość logów. Oceniając po katalogach na dysku są conajmniej dwa dodatkowe konta w Windows, czyli Bartosz# i Test. W systemie znaki znacznie gorszej infekcji ZeroAccess. Wymagane dodatkowe skany:

 

1. Zaloguj się na konto Bartosz#. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy skan.

 

2. Dodatkowo zrób log z Farbar Service Scanner. Wszystkie opcje zaznacz.

 

 

 

.

[KapitanBomba]

Faktycznie, są 2 konta w systemie

 

1. Log: http://wklejtekst.pl/541

2. Log: http://wklejtekst.pl/542

 

Tym razem z mojego konta ogólnego, nie z admina, z konta Bartosz#

 

PS: I dodatkowo wcześniejszy OTL

Extras.Txt

OTL.Txt

[picasso]

Akcja z poziomu konta Bartosz#:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v TapiSysprep /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WPDShextAutoplay /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /ve /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f
del /q C:\WINDOWS\tasks\At*.job
sc delete zjrhaaxel
sc delete vcwvmixtg
sc delete vaptx
sc delete nbvcp
sc delete knmojczu
sc delete kkuamoz
sc delete jnqclrv
sc delete fxetupuz
sc delete clgdbypjs
sc delete ssadserd
sc delete ssadmdm
sc delete ssadmdfl
sc delete ssadbus
sc delete ctdvda2k
sc delete AFPAnsi

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{765b222f-d8d9-4de2-8540-4fd0f5834c36}
"C:\Documents and Settings\Bartosz#\Ustawienia lokalne\Dane aplikacji\{765b222f-d8d9-4de2-8540-4fd0f5834c36}"
"C:\Documents and Settings\Test\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4116"
"C:\Documents and Settings\Bartosz#\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1963"
"C:\Documents and Settings\Bartosz#\Dane aplikacji\hellomoto"
"C:\Documents and Settings\All Users\Dane aplikacji\6F63A570C91049A0AFB58CA581CB3EF3"
"C:\Documents and Settings\Bartosz#\Menu Start\Programy\Live Security Platinum"
 
DeleteFile:
"C:\Documents and Settings\Bartosz#\Pulpit\Live Security Platinum.lnk"
"C:\Documents and Settings\Bartosz#\Ustawienia lokalne\Dane aplikacji\zrbliju.exe"
"C:\Documents and Settings\Bartosz#\Dane aplikacji\arps32.exe"
C:\WINDOWS\system32\drivers\AFPAnsi.sys
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Wklej do posta zawartość raportu BlitzBlank. Zrób nowy log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wpisz słowo netsvcs, klik w Skanuj (a nie Wykonaj skrypt!).

 

 

.

[KapitanBomba]

System jeszcze nie działa, co ciekawe pojawiło się jakieś inne ostrzeżenie o "naruszeniu prawa"

 

LOGI

BlitzBlank: http://wklejtekst.pl/547

OTL [nowy skan]: http://wklejtekst.pl/548

OTL [własna opcja skanowania]: http://wklejtekst.pl/549

SystemLook: http://wklejtekst.pl/54a

[picasso]

Log z OTL przecież tylko jeden potrzebny, dlaczego dajesz dwa. No cóż, w międzyczasie w systemie zagnieździła się kolejna infekcja ... Nie wiem co robiłeś w międzyczasie, ale definitywnie złapana na nowo, w innym wariancie = stąd widzisz różnicę w komunikacie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [pgjwmprltwffxcy] C:\Documents and Settings\All Users\Dane aplikacji\pgjwmprl.exe ()
O4 - HKCU..\Run: [pgjwmprltwffxcy] C:\Documents and Settings\All Users\Dane aplikacji\pgjwmprl.exe ()
NetSvcs: jnqclrv -  File not found
NetSvcs: knmojczu -  File not found
NetSvcs: nbvcp -  File not found
NetSvcs: zjrhaaxel -  File not found
NetSvcs: clgdbypjs -  File not found
NetSvcs: vcwvmixtg -  File not found
NetSvcs: vaptx -  File not found
NetSvcs: kkuamoz -  File not found
NetSvcs: fxetupuz -  File not found
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\otdeugzttryeiyt
C:\Documents and Settings\All Users\Dane aplikacji\rlzvnhxylidfdzb
C:\Documents and Settings\All Users\Dane aplikacji\*.exe
C:\Documents and Settings\Bartosz#\0.6076678955888936.exe
C:\Documents and Settings\Bartosz#\ms.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER (należy usunąć przed jego uruchomieniem sterownik SPTD + restart). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[KapitanBomba]

Naprawdę nie mam pojęcia co się dzieje. Niby wszystko ok, 10 minut [nawet nie przeglądałem stron] i następne ostrzeżenie

 

Log po uruchomieniu: http://wklejtekst.pl/54d

Log OTL przed ponownym ostrzeżeniem: http://wklejtekst.pl/54e

Jeszcze przed skanem OTL wchrzanił mi się nie wiadomo skąd fałszywy antywirus, potraktowałem go programem RKill

Log: http://wklejtekst.pl/54f

 

I nowy OTL [po zawirusowaniu]: http://wklejtekst.pl/54k

 

Na razie bez GMER, bo stwierdziłem, że chyba w tej chwili nie ma sensu dawanie tych logów

[picasso]

Na razie bez GMER, bo stwierdziłem, że chyba w tej chwili nie ma sensu dawanie tych logów

 

Prośba o GMER była nie bez przyczyny. Sprawdzanie w OTL to "na pół gwizdka", tylko część podstawowa. Może być w systemie znacznie grubsza ukryta infekcja, która po prostu ściąga dodatkowe malware. Tak więc GMER podaj + nowy log z OTL zrobiony już po nim.

 

 

 

.

[KapitanBomba]

GMER: http://wklejtekst.pl/54p

OTL: http://wklejtekst.pl/54q

[picasso]

Cóż, GMER + OTL wskazują na jazdę od początku. W systemie UKASH, Live Security Platinum, działa i w pełni zregenerowany rootkit ZeroAccess (+ OTL pokazuje jego foldery na dysku):

 

---- Processes - GMER 1.0.15 ----
 
Library  c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [364] 0x45670000  
Library  c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1432] 0x45670000  

 

W GMER jeszcze widać szczątki po innych rootkitach, ale w nieaktywnych kopiach konfiguracyjnych, więc to nie ma znaczenia (ale potem będzie czyszczone). Czyli od nowa skan pod kątem ZA:

 

Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy skan.

 

 

.

[KapitanBomba]

SystemLook: http://wklejtekst.pl/54r

[picasso]

Powtórka:

 

1. Zrób nowy FIX.BAT o zawartości:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v TapiSysprep /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 6F63A570C91049A0AFB58CA581CB3EF3 /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

I jak poprzednio połóż na C.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\WINDOWS\Installer\{765b222f-d8d9-4de2-8540-4fd0f5834c36}
"C:\Documents and Settings\Bartosz#\Ustawienia lokalne\Dane aplikacji\{765b222f-d8d9-4de2-8540-4fd0f5834c36}"
"C:\Documents and Settings\Bartosz#\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1963"
"C:\Documents and Settings\Bartosz#\Dane aplikacji\hellomoto"
"C:\Documents and Settings\All Users\Dane aplikacji\6F63A570C91049A0AFB58CA581CB3EF3"
 
DeleteRegKey: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\clgdbypjs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fxetupuz
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\jnqclrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kkuamoz
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\knmojczu
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nbvcp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vaptx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vcwvmixtg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zjrhaaxel
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now.

 

3. Do oceny log z BlitzBlank, nowe logi OTL + GMER oraz szukanie w SystemLook:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

 

 

.

[KapitanBomba]

Przepraszam za dłuższą nieobecność w temacie, ale zostałem nagle odcięty od Internetu...

Komputer działa bardzo wolno, ale działa. Wciąż pojawiały się nowe zagrożenia [typu Live Security Platinum]

 

Ostatni BlitzBlank: http://wklejtekst.pl/57u

Bez DeleteRegKey, gdyż po ich wstawieniu wyskakiwały błędy

 

OTL: http://wklejtekst.pl/57v

SystemLook: http://wklejtekst.pl/57w

GMER: http://wklejtekst.pl/57x

[KapitanBomba]

Już trochę czasu czekam na odpowiedź, więc użyłem System Utilities do oczyszczenia systemu

Nowe logi:

 

OTL: http://wklejtekst.pl/5a0

SystemLook: http://wklejtekst.pl/5a1

GMER: http://wklejtekst.pl/5a2

[picasso]

Nie wiem co robiłeś w System Utilities (jest jakiś raport z tego?), ale te dwa zestawy logów się praktycznie nie różnią, z wyjątkiem niuansu z (nie)obecnością Kasperskiego. W obu widać też te same szczątki infekcji w postaci określonych folderów. Swoją drogą, System Utilities jako takie nie wygląda na aplikację zdolną przeprowadzić jakiekolwiek czynności zaawansowane w zakresie zautomatyzowanym i specjalizowantym pod kątem nowoczesnych infekcji. Moduł "Spyware Removal" jest bardzo słaby.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Bartosz#\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\Bartosz#\Dane aplikacji\Evur
C:\Documents and Settings\Bartosz#\Dane aplikacji\Vyap
C:\Documents and Settings\Bartosz#\Dane aplikacji\Ulimab
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Przez SHIFT+DEL skasuj z dysku katalog kwarantanny D:\_OTL i wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz raport z MBAM, o ile coś zostanie wykryte.

 

.

 

 

[KapitanBomba]

Log OTL po restarcie: http://wklejtekst.pl/5aa

Katalog kwarantanny został usunięty, przywracanie systemu wyłączone

MBAM nic nie wykrył

Nowy OTL: http://wklejtekst.pl/5ad

 

Przy okazji zapytam - jakiego antywirusa warto używać przy nieco starszym komputerze? Bo Kaspersky trochę spowalniał kompa...

[picasso]

Zadanie pomyślnie wykonane. W aktualnym logu z OTL nie widzę nic niepokojącego. Jak zachowuje się system? Czy to nadal ma miejsce:

 

Komputer działa bardzo wolno, ale działa.

 

Jeśli tak, to winny może być skan GMER. Skan ten jest dość specyficzny, podczas jego wykonywania może nastąpić timeout kontrolera dysku, a jako skutek uboczny degradacja trasferu dysku z DMA do PIO. Zweryfikuj bieżący tryb transferu: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Podkreślam, patrzysz na linię "bieżący tryb transferu".

 

 

Przy okazji zapytam - jakiego antywirusa warto używać przy nieco starszym komputerze? Bo Kaspersky trochę spowalniał kompa...

 

Ubogo w RAM:

 

767,53 Mb Total Physical Memory | 201,69 Mb Available Physical Memory | 26,28% Memory free
1,83 Gb Paging File | 1,11 Gb Available in Paging File | 60,76% Paging File free

 

Może darmowy antywirus Panda Cloud Antivirus?

 

 

.

[KapitanBomba]

Dobrze, bardzo dziękuję za pomoc, muszę się odwdzięczyć

Mógłbym prosić jeszcze tylko o jakiegoś linka do poradnika przyśpieszanie i oczyszczanie Windows XP? [ o ile taki istnieje ]

[picasso]

Na zakończenie wymagane aktualizacje: KLIK. Tutaj z Twojego wyciągu OTL Extras co aktualnie jest w systemie:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"FileZilla Client" = FileZilla Client 3.2.7.1
"Foxit Reader_is1" = Foxit Reader 5.1
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1

 

 

Mógłbym prosić jeszcze tylko o jakiegoś linka do poradnika przyśpieszanie i oczyszczanie Windows XP? [ o ile taki istnieje ]

 

Jeden link już otrzymałeś (ten który m.in. opisuje sprawy DMA/PIO). Do pary na forum również i sterowanie usługami: KLIK.

 

Dodatkowa uwaga, na liście zainstalowanych widnieje Gadu-Gadu 10. To jest dopiero żerny program, a przy widzialnej tu ilości RAM kompletna dysproporcja. Proponuję lekką bezreklamową alternatywę z dobrą obsługą sieci Gadu: WTW. Opis w artykule: KLIK.

 

 

 

.