Policyjna blokada komputera

[kapro]

Witajcie,

 

zwracam się do was z prośbą o pomoc w sprawie popularnych ostatnio blokadach systemu przez Weelsof. Mój komputer został zainfekowany dzisiaj, obecnie działam w trybie awaryjnym z obsługą sieci. Załączam logi z OTL.

 

Pozdrawiam,

Kapr

Extras.Txt

OTL.Txt

[picasso]

Używałeś ComboFix, na przyszłość: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [nelfufyshato] C:\Users\Kapr\nelfufyshato.exe ()
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyDzy0Bzz0FyCyDzyzytDtN0D0Tzu0CtBzyyBtN1L2XzutBtFtBtFtDtFtAyEyE&cr=695343553"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDyDzy0Bzz0FyCyDzyzytDtN0D0Tzu0CtBzyyBtN1L2XzutBtFtBtFtDtFtAyEyE&cr=695343553"
IE - HKCU\..\SearchScopes\{31F35936-EAF1-52D6-B138-7CBEAB9489B3}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110808&tt=3412_8&babsrc=SP_ss&mntrId=606959900000000000005404a6df5c29"
[2012-10-23 19:54:24 | 000,290,500 | ---- | C] () -- C:\Users\Kapr\AppData\Local\funmoods-speeddial_sf.crx
[2012-10-23 19:54:23 | 000,031,465 | ---- | C] () -- C:\Users\Kapr\AppData\Local\funmoods.crx
[2012-08-21 21:42:02 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Services
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Przejdź w Tryb normalny Windows, by wykonać:

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Funmoods. Możesz się też pozbyć McAfee Security Scan Plus. Otwórz Firefox i w Dodatkach powtórz usuwanie Funmoods.com, również zrekonfiguruj stronę startową i domyślną wyszukiwarkę.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[kapro]

Wykonane.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadania wykonane, zostały tylko drobne poprawki i finalizacja.

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.selectedEngine: "Search"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Kapr\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{31F35936-EAF1-52D6-B138-7CBEAB9489B3}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{31F35936-EAF1-52D6-B138-7CBEAB9489B3}"

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Kapr\Desktop\ComboFix.exe /uninstall

 

Następnie przez SHIFT+DEL skasuj folder C:\Windows\erdnt, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Zaktualizuj Windows, Adobe i Java: KLIK. Log notuje brak SP1 dla Windows 7 oraz wersje:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3

 

 

.

 

[kapro]

Dziękuję serdecznie za pomoc. ^^

[kapro]

Weelsof zaatakował, komputer zablokowany, uruchomiony tryb awaryjny z obsługą sieci. W przeszłości był robiony combofix. W załączniku logi z OTLa.

Extras.Txt

OTL.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Kapr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[kapro]

Zrobione.

OTL.Txt

[Landuss]

Problem masz z głowy. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 7

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[kapro]

Niestety weelsof zablokował mi komputer domagając się 300 zł za odblokowanie. :c

Podaję logi z OTLa.

Extras.Txt

OTL.Txt

[picasso]

Wszystkie trzy tematy łączę, bo jesteś tu zbyt szybko, aż trzy razy infekcja. I jak do ściany. Dwa razy wskazywaliśmy aktualizacje. W trzecim podejściu to samo widać: brak SP1, stare Adobe i Java. Widzę, że oceniłeś to jako bez znaczenia. Otóż to ma ogromne znaczenie. Ten rodzaj infekcji wykorzystuje luki w oprogramowaniu.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Kapr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{31F35936-EAF1-52D6-B138-7CBEAB9489B3}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{31F35936-EAF1-52D6-B138-7CBEAB9489B3}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[kapro]

Załączam skan.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta.

 

1. Jednej rzeczy nie zauważyłam, ta wyszukiwarka w Firefox nadal jest (była już przeze mnie usuwana w pierwszym temacie):

 

FF - prefs.js..browser.search.selectedEngine: "Search"

 

Wyczyść Firefox inną metodą: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Po tej akcji na Pulpicie powstanie folder "Stare dane programu Firefox" = na śmietnik.

 

2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną, przez SHIFT+DEL skasuj folder C:\Windows\erdnt (i tego nie zrobiłeś w swoim pierwszym temacie). Dodatkowo: odinstaluj McAfee Security Scan Plus (sponsor paczek Adobe).

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaległe aktualizacje. Prócz tego co podawane było już dwa razy (brak SP1 Windows 7, stara Java i Adobe Reader) dochodzi jeszcze Adobe Flash, bo nie masz najnowszej wersji:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Ogólnie odinstaluj wszystkie wystąpienia Adobe i Java, zastąp najnowszymi wersjami, zaktualizuj cały Windows.

 

5. Brak tu również jakiegokolwiek oprogramowania zabezpieczającego. Może darmowe antywirusy pracujące w chmurze: Kingsoft Antivirus, Panda Cloud Antivirus?

 

 

.

[kapro]

Usunąłem stare dane, włączyłem sprzątanie OTLa, wyczyściłem przywracanie systemu, zaktualizowałem SP, Javę, Readera i Flash, zainstalowałem antywirusa Comodo. Dzięki.