Wirus mówiący o zablokowaniu komputera przez policję z powodu naruszenia prawa

[kacper1992]

Witam

 

Po raz drugi złapałem wirusa, który wyskakuje zaraz po uruchomieniu i mówi, że należy wpłacić 500 zł grzywny za naruszenie prawa.

 

Tym razem tryb awaryjny działa tylko z wierszem poleceń. Próba usunięcia wirusa z płyty z antywirusem nic nie dała. Plik ponoć został usunięty, ale wirus nadal działa. Zupełnie przypadkiem przy wyłączaniu laptopa sysytem chciał wymusić zamknięcie bo jedna aplikacja nie chciała się zamknąć. Wtedy kliknąłem anuluj i nagle pojawił mi się mój pulpit. Teraz boje się, że jak uruchomie ponownie komputer wirus znowu będzie działał.

 

 

Ostatnio zwalczyłem wirusa combofixem, ale teraz wiem, że nie powinienem tego robić jako niezaawansowany użytkownik. Dodam jeszcze, że antywirus online wykrył mi zainfekowane pliki;

 

C:\Program Files\RelevantKnowledge\rlls.dll prawdopodobnie odmiana zagrożenia Win32/Adware.RK aplikacja

C:\Program Files\RelevantKnowledge\rlservice.exe odmiana zagrożenia Win32/Adware.RK aplikacja

C:\Program Files\RelevantKnowledge\rlvknlg.exe odmiana zagrożenia Win32/Adware.RK.AE aplikacja

C:\Program Files\RelevantKnowledge\rlvknlg64.exe Win32/Adware.RK aplikacja

C:\Users\Kacper\AppData\Local\temp\main.html Win32/LockScreen.ALY.Gen koń trojański

C:\Users\Kacper\AppData\Local\temp\v92bmdaylzj4unw5.exe odmiana zagrożenia Win32/Injector.XIX koń trojański

C:\Users\Kacper\AppData\Local\temp\7ZipSfx.000\v9ht.exe odmiana zagrożenia Win32/ELEX aplikacja

C:\Users\Kacper\AppData\Roaming\msconfig.dat odmiana zagrożenia Win32/Injector.XIX koń trojański

 

może wystarczy je usunąć

Extras.Txt

OTL.Txt

[picasso]

Tym razem tryb awaryjny działa tylko z wierszem poleceń.

 

Tak, gdyż infekcja ładuje się via klucz Shell powłoki graficznej. Tryb z Wierszem polecenia nie ładuje powłoki. Przechodząc do usuwania (przy okazji także wpisy puste i stare wpisy Thunderbird):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Kacper\AppData\Roaming\msconfig.dat
C:\Users\Kacper\AppData\Roaming\msconfig.ini
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla\Mozilla Thunderbird 8.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla\Mozilla Thunderbird 11.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla\Mozilla Thunderbird 12.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla\Mozilla Thunderbird 13.0.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla\Mozilla Thunderbird 14.0]
 
:Services
NEWDRIVER
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i już w Trybie normalnym prowadzisz kolejne akcje:

 

2. Przez Panel sterowania odinstaluj adware monitorujące RelevantKnowledge. Otwórz Firefox i w Dodatkach odinstaluj Fast Video Download (powody: KLIK)

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[kacper1992]

Problem w tym, że po nocy laptop powitał mnie z ekranem do logowania. Po wpisaniu hasła wirus znowu jest oczywiście aktywny i nie mam jak zrobić logów.

 

Będę musiał jeszcze raz liczyć na to, że wirus na chwilę przestanie odpowiadać albo zrobić coś przy pomocy kaspersky rescue disc

 

 

PS. Na szczęście udało mi się "zawiesić" wirusa i mogłem zrobić wszystko łącznie z uruchomieniem OTLa.

Dodaje loga

OTL.Txt

[picasso]

Nie rozumiem do czego zmierzasz. Przy tym wariancie infekcji poprawnie działa tylko Tryb awaryjny z Wierszem polecenia.

 

Infekcja i adware usunięte. Przejdź do wykończeń:

 

1. Wyczyść po narzędziach: przez SHIFT+DEL skasuj folder C:\Kaspersky Rescue Disk 10.0, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[kacper1992]

Chodzi o to, że wszystko co z OTLem związane robiłem w trybie normalnym (nie awaryjnym). Udało się to dlatego, że przy zamykaniu systemy wyskakiwało okno, żeby wymusić zamknięcie systemu bo aplikacja jakaś tam nie odpowiada.

 

http://img138.imageshack.us/img138/6837/pomocsl.png Tutaj przykład takiego okna (oczywiście nie chodziło o tą aplikację)

 

Wtedy dawałem anuluj i tryb normalny działał już bez nakładki wirusa. A po ponownym uruchomieniu wirus nadal działał. Ale nie ważne.

 

Ważne, że wirusa nie ma, instrukcje wykonane. Skanowanie nic nie wykryło. Dziękuję za pomoc

[picasso]

Instrukcje ze skryptem OTL miały być wykonywane z poziomu Trybu awaryjnego, ale to już rzeczywiście nieistotne. Na sam koniec zrób aktualizacje poniżej wyliczonych programów: KLIK. Aktualnie u Ciebie widać:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
"Mozilla Thunderbird 15.0.1 (x86 pl)" = Mozilla Thunderbird 15.0.1 (x86 pl)

 

 

.

[kacper1992]

Dobra, zrobię wszystko. Dzięki jeszcze raz