Ten komputer został zablokowany

[Looonger]

Witam.

Ostatnio na komputerze zagościł ten właśnie pseudowirus który żądał 500 złotych mandatu. Udało mi się wyrzucić ten cwany program z komputera za pomocą programu ComboFix chciałbym się tylko dowiedzieć czy problem infekcji został rozwiązany i czy program nie wyrządził szkód na komputerze.

log.txt

OTL.Txt

Extras.Txt

[picasso]

Są nadal na dysku resztki infekcji. Poza tym, zainstalowane adware.

 

1. Skasuj z dysku posiadany OTL (nie używaj opcji Sprzątanie!), bo wersja ta ma krytyczny błąd. Pobierz z przyklejonego tematu ponownie OTL: KLIK (starsza wersja jest pobierana).

 

2. Przez Panel sterowania odinstaluj adware Hyperionics DB Toolbar, Przyspiesz Komputer v2.1, QuickStores-Toolbar 1.1.0, Yontoo 1.10.02, zbędny Akamai NetSession Interface Service oraz wątpliwy reputacją RegCure Pro od Paretologic.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=HQ&apn_dtid=YYYYYYYYPL&apn_uid=48F1FBAB-C6F2-40D6-BA74-DB169D745CD3&apn_sauid=7C806B16-C712-4702-AD9C-ED651C67BF9D"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={6FB6536A-C3A6-498F-80A4-EC13B090A06D}&mid=4ebd8d98f95047d0a4a9f1867625656b-0237d33513b48be1387222aa889eafc2e35b606b&lang=pl&ds=AVG&pr=fr&d=2012-07-06 13:09:30&v=11.1.0.12&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{7CD66C4B-DDA9-4E84-BE82-B6FA99C92F97}?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQAXjzL1C&i=26"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
SRV - [2009-09-19 11:42:21 | 000,436,104 | ---- | M] () [Auto | Stopped] -- C:\Program Files\1293642005\Jakub1293642005L.exe -- (.1293642005)
SRV - File not found [Auto | Stopped] -- c:\program files\common files\akamai/netsession_win_4f7fccd.dll -- (Akamai)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jakub\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GVCplDrv)
 
:Files
C:\ProgramData\kqoyqeevakljuzx
C:\ProgramData\leyhzfwqmzmcfcn
C:\Program Files\1293642005
C:\Program Files\uik.dat
C:\Program Files\is.dat
C:\found.*
C:\Users\Jakub\AppData\Roaming\mozilla\firefox\profiles\vo5ke9gu.default\searchplugins\askcom.xml
C:\Users\Jakub\AppData\Roaming\mozilla\firefox\profiles\vo5ke9gu.default\searchplugins\MyStart Search.xml
C:\Users\Jakub\AppData\Roaming\mozilla\firefox\profiles\vo5ke9gu.default\searchplugins\sweetim.xml
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\startupreg\PKTray]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[Looonger]

Wszystkie punkty zrobione. Ale mam jeszcze problem nie wiem czy to przez infekcję ale kiedy wkładam płytę do napędu nie uruchamia się aplikacja lub instalator tylko tylko program do przeglądania zdjęć i obrazów próbuje uruchomić aplikacje...

OTL.Txt

AdwCleanerS2.txt

[picasso]

Looonger, apropos PW, odpowiadam w temacie gdy jestem obecna i mam czas go przetworzyć. Zwracanie mi na to uwagi na PW jest becelowe.

 

 

Ale mam jeszcze problem nie wiem czy to przez infekcję ale kiedy wkładam płytę do napędu nie uruchamia się aplikacja lub instalator tylko tylko program do przeglądania zdjęć i obrazów próbuje uruchomić aplikacje...

 

Nie, to nie wydaje się w ogóle powiązane z infekcją. Na chwilę obecną jedyne co mi się z tym kojarzy, to skutek używania ComboFix, który manipuluje w rejestrze blokując autorun napędów (pod kątem zabezpieczania przed infekcjami z mediów przenośnych). Konkretnie chodzi o edycję rejestru realizowaną również w programie Panda USB Vaccine. Potwierdź obecność tego. Uruchom SystemLook i do skanu wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

 

Log będzie krótki = wklej jego zawartość wprost do posta.

 

 

 

.

[Looonger]

SystemLook 30.07.11 by jpshortstuff

Log created at 12:29 on 06/10/2012 by Jakub

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:Software\Swearware\dump"

 

 

-= EOF =-

Ogółem to nie pojawia się okienko Zainstaluj lub uruchom program tylko to co wcześniej napisałem poza tym zaobserwowałem że kiedy wkładam płytę do napędu nie ma ikonki tej płyty.

[picasso]

I otóż to. Jest zablokowane wykonywanie autorun.inf na wszystkich nośnikach. Zastanów się dwa razy zanim to zdejmiesz. To jest specjalna ochrona, masz system Vista, który niestety nie ma jeszcze takich zabezpieczeń natywnych jak Windows 7. Jeśli podejmiesz decyzję o usunięciu tej blokady, to zdejmuje się ją w następujący sposób:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

 

2. Zresetuj system.

 

 

 

.

[Looonger]

Wcześniej tego nie było więc tę blokadę założył program ComboFix ? I czy ona blokuje uruchamianie się programów by użytkownik mógł najpierw sprawdzić czy na płycie nie znajdują sie szkodliwe programy ? I czy jeśli skopiuje folder Autorun.inf i wkleję go z powrotem to blokada znów będzie działać oczywiście chodzi mi o folder w rejestrze? I ostatnie pytanie : Czy mój komputer został całkowicie oczyszczony z infekcji i czy mam coś jeszcze zrobić ?

[picasso]

Wcześniej tego nie było więc tę blokadę założył program ComboFix ? I czy ona blokuje uruchamianie się programów by użytkownik mógł najpierw sprawdzić czy na płycie nie znajdują sie szkodliwe programy ? I czy jeśli skopiuje folder Autorun.inf i wkleję go z powrotem to blokada znów będzie działać oczywiście chodzi mi o folder w rejestrze?

 

Oczywiście, przecież mówię wyraźnie = to jest blokada wprowadzona przez ComboFix (a 100% dowód pochodzenia tego wpisu to fraza "Swearware" = to jest marka ComboFix). To samo robi opcja Computer Vaccination w Panda USB Vaccine. Czy przeczytałeś ten opis? On wyjaśnia na czym polega ta blokada. Jej cel to kompletne zablokowanie pliku autorun.inf, by się nie wykonał automatycznie. Co do "wklejania folderu Autorun.inf" w rejestrze, to nie wiem na ile Ty uwzględniasz zawartość owego "folderu". Samo dodanie klucza o nazwie Autorun.inf nie wystarczy, przecież w nim jest specjalna wartość domyślna wypełniona danymi. Nakładanie blokady wymaga więc pełnego importu do rejestru. Najszybsza metoda sterowania obecnością tej blokady to Panda USB Vaccine i przestawienie statusu opcji Computer Vaccination.

 

 

I ostatnie pytanie : Czy mój komputer został całkowicie oczyszczony z infekcji i czy mam coś jeszcze zrobić ?

 

Instrukcji końcowych w poprzednim poście nie otrzymałeś, ponieważ drążysz aktualnie temat poboczny z autostartem płyt. W kwestii zakończenia tematu:

 

1. Drobny skrypt poprawkowy na odpadek po deinstalacji Akamai. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Jakub\AppData\Local\Akamai\netsession_win.exe" File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Logów nie muszę oglądać.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"f:\programy do usuniecia wirusa\Combofix\ComboFix.exe" /uninstall

 

Przez SHIFT+DEL skasuj foldery: C:\_OTL + C:\Windows\erdnt. W AdwCleaner zastosuj opcję Uninstall.

 

3. Na wszelki wypadek przeskanuj jeszcze Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[Looonger]

Czy mam skanować trybem szybkim, błyskawicznym czy pełnym ?

[picasso]

Tryb pełny, najdokładniejszy.

[Looonger]

Skanuje w trybie pełnym. Ale podczas kasowania ComboFix pojawiło mi się okno chyba nawet te same co przy instalacji ale raczej udało mi się to skasować. I dysk F to pendrive czy nie musiałem jego kasować w sensie CF ?

***********

Po zainstalowaniu programu komputer nie chciał się włączyć tzn. po zalogowaniu był czarny ekran więc byłem zmuszony odinstalować program (komputer musiałem zresetować pod koniec skanowania) znalazł 4 błędy. Logi dam dopiero jutro rano kiedy na noc włączę skanowanie chyba że ktoś będzie miał inny pomysł.

***********

 

Niestety nie udało mi się przeskanować całego komputera to są logi które zdążyłem . Pełne będę mógł dać dopiero w następny weekend. z 5 elementów nie usuwałem tylko 1.

mbam-log-2012-10-07 (17-20-40).txt

[picasso]

Looonger, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj zamiast pisanie posta pod postem. Sklejam.

 

 

Ale podczas kasowania ComboFix pojawiło mi się okno chyba nawet te same co przy instalacji ale raczej udało mi się to skasować. I dysk F to pendrive czy nie musiałem jego kasować w sensie CF ?

 

Deinstalacja ComboFix na samym początku wygląda tak jak jego uruchomienie. A co do F: ComboFix był jawnie uruchamiany z tej ścieżki, toteż w komendzie deinstalacyjnej została podana właśnie ta ścieżka.

 

 

Po zainstalowaniu programu komputer nie chciał się włączyć tzn. po zalogowaniu był czarny ekran więc byłem zmuszony odinstalować program (komputer musiałem zresetować pod koniec skanowania)

 

Czy na pewno podczas instalacji wybrałeś wersję darmową (o tą mi tu chodziło), która nie instaluje sterownika rezydenta?

 

 

Niestety nie udało mi się przeskanować całego komputera to są logi które zdążyłem

 

Do usunięcia te dwa wyniki (reszta to fałszywe alarmy):

 

Wykrytych kluczy rejestru:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111181125} (PUP.CrossRider.BCA) -> Nie wykonano akcji.
 
Wykrytych plików:
C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> Nie wykonano akcji.

 

I przez SHIFF+DEL skasuj cały folder adware C:\ProgramData\OptimizerPro1

 

 

.

[Looonger]

Przepraszam że tak długo ale wcześniej po prostu nie miałem czasu. Zagrożenia które wykrył program zostały usunięte (pozostało jeszcze zresetowanie komputera) ale przedtem muszę usunąć program by włączyć komputer.

mbam-log-2012-10-14 (11-58-36).txt

[picasso]

Ten nowy skan MBAM pokazuje, że nie został usunięty uprzednio jeden z wpisów (PUP.CrossRider.BCA) oraz pojawiły się nowe zagrożenia / śmieci i crack Norton Trial Reset. To wszystko do usunięcia:

 

Wykrytych kluczy rejestru:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111181125} (PUP.CrossRider.BCA) -> Nie wykonano akcji.
 
Wykrytych plików:
C:\Program Files\1293642005\Jakub1293642005L.exe (Backdoor.Agent) -> Nie wykonano akcji.
C:\Users\Jakub\Desktop\Nowe Foldery\Nowy folder\NORTON INTERNET SECURITY 2011_MAK\NTR2011-v1.7\NTR2010-v1.7.exe (Backdoor.Agent) -> Nie wykonano akcji.
C:\Users\Jakub\Downloads\FLVPlayerSetup.exe (Adware.Agent) -> Nie wykonano akcji.

 

+ przez SHIFT+DEL do kasacji folder C:\Program Files\1293642005.

 

 

.

[Looonger]

Wszystko. Czy mam coś jeszcze zrobić ?

[picasso]

Na zakończenie wykonaj aktualizacje: KLIK. W dostarczonym tu OTL Extras widać następujące wersje aplikacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox)
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.