Komputer zainfekowany ramsonwarem, combofix nie pomogl, prosze o pomoc.

[CyborgR5]

Witam,

 

Jak w tytule moj komputer zostal zaatakowany przez zlosliwy program ktory po wlaczeniu komputer w normalnym trybie wyswietla na caly monitor okno w ktorym domaga sie wpisania kodu Ukash o wartosci 500zl.

 

identyczny jak na tej stronie :http://tech.wp.pl/kat,1009779,title,Ten-komputer-zostal-zablokowany-jak-odblokowac,wid,14737749,wiadomosc.html?ticaid=1eded&_ticrsn=3

 

najpierw probowalem uzyc programu ComboFix o ktorym przeczytalem na ow stronie, niestety za kazdym razem wyskakiwalo okienko ze jest wlaczony Aviradesktop potem okienko "Blad" i pojawialo sie niebieskie okno z napisem ze sprawdza i zwykle zajmuje mniej niz 10 min niestety nawet po 30min nic sie nie dzialo.

 

Nawet po odinstalowaniu Antyvira i emulatorow Combofix nie dzialal ( to samo co wyzej)

 

Nastepnie probowalem uzyk kodu Ukash znalezionego w necie oraz ruznych metod jego generowania a na koniec uzycia kodu z generatora jaki posiadal moj znajomy ktory ostatnim czasem mial ten sam problem i tym go rozwiazal. Niestety u mnie to nie podzialalo Ani przy wylaczonym internecie (tak kabelek tez byl wyciagniety) ani przy wlaczonym(desperacka proba)

 

Nastepnie sciagnolem program OTL ktory naszczescie zadzaialal i wygenerowal dwa pliki TXT ktore zalaczam nizej.

 

Przyznam ze moja wiedza jest bardzo uboga stad prosze o pomoc.

 

Pozdrawiam,

CyborgR5

Extras.Txt

OTL.Txt

[picasso]

Na temat używania ComboFix: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=cb6d5b9f-120e-11e1-bad5-0016e657f801&q={searchTerms}"
IE - HKCU\..\SearchScopes\{A0395030-A627-48A4-8A51-76F0998D5BB0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=246CE9C2-F6A6-4331-9C29-0FE557CEE093&apn_sauid=DE397B64-5200-4A3F-8A50-BE66057EF104&"
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [tdonpqqgxlxzohw] C:\ProgramData\tdonpqqg.exe ()
[2012-07-25 10:41:44 | 000,000,000 | ---D | C] -- C:\ProgramData\oqivtdyoxkqyzdr
[2012-07-25 10:41:44 | 000,000,051 | ---- | M] () -- C:\ProgramData\viemmiwtpxzzuaz
[2012-07-25 10:41:40 | 000,057,344 | ---- | M] () -- C:\Users\Radek\0.5665367227818316.exe
SRV - [2011-06-26 08:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - [2012-07-25 19:41:01 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Users\Radek\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{70D3CC41-2865-4E25-8554-BDE797B834FE}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{70D3CC41-2865-4E25-8554-BDE797B834FE}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, VshareComplete, vShare.tv plugin 1.3. Przy okazji i zbędny Akamai NetSession Interface.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[CyborgR5]

Witam zrobilem wszystko co bylo podane do zrobienia. nizej dolaczam pliki o ktorych byla mowa na koncu.

 

Jesli mam cos jeszcze zrobic slucham uwaznie.

 

Pozdrawiam,

CyborgR5

AdwCleanerS1.txt

OTL.Txt

07262012_180557.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Mikro poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{C9CF88D1-2106-49E2-AD38-5C788E415452}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-IDW&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=0EE2AB06-CAE0-4952-B662-D04BB6CBE0A2&apn_sauid=94D483E4-66E6-4358-B868-84F4C44588E3"
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Radek\AppData\Local\Akamai\netsession_win.exe" File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Radek\Desktop\ComboFix.exe /uninstall

 

3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

4. W Dzienniku zdarzeń odnotowany błąd WMI numer 10. Napraw narzędziem z KB2545227.

 

5. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co konkretnie chodzi;

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Microsoft SQL Server 10 Release" = Microsoft SQL Server 2008

 

+ Service Pack dla Microsoft SQL Server 2008: KB968382

 

 

 

.