Usuwanie blokady ransomware

[mercy275]

Witam. Zakładam nowy topic, zgodnie z instrukcjami znalezionymi w trakcie szukania rozwiązań dla blokady ransomsoftware'owej.

Padłem ofiarą wirusa podszywającego się pod policję i zostałem poproszony o uiszczenie opłaty 300zł. Próbowałem rozwiązac problem za pomocą ComboFixa, jednak ten po uruchomieniu wyłącza się i usuwa ikonę. Pobrałem więc AVGremover i dokonałem skanowania. Załączam log. Dodam, że zablokowany został mi użytkownik administrator, pracuję teraz na ograniczonym koncie, mam nadzieję, że nie spowoduje to utrudnień. Bardzo proszę o pomoc.

avgremover.txt

[picasso]

mercy275 ... ale przecież AVG Remover to jest narzędzie do usuwania antywirusa AVG (gdy nie da się go normalnie odinstalować lub by poprawić po jego deinstalacji). To nie jest żaden skaner do usuwania malware! Popatrz sobie w ten bezużyteczny raport, który podałeś, w nim widać że narzędzie szuka składników AVG do usunięcia ...

 

Pomijając już to, tu są określone zasady na forum i jest wyraźnie powiedziane co należy podać: KLIK. Obowiązkowe logi i wykonane z poziomu właściwego konta:

 

 

Dodam, że zablokowany został mi użytkownik administrator, pracuję teraz na ograniczonym koncie, mam nadzieję, że nie spowoduje to utrudnień.

 

Oczywiście, że spowoduje. Po pierwsze: infekcja jest na zupełnie innym koncie i dane o tym można pobrać będąc na tym koncie (konta mają kompletnie inne rejestry i foldery). Po drugie: konto ograniczone nie ma uprawnień i usuwanie nie jest możliwe. Czyli: startuj do Trybu awaryjnego, loguj się na właściwe konto i zrób logi do oceny.

 

 

Próbowałem rozwiązac problem za pomocą ComboFixa, jednak ten po uruchomieniu wyłącza się i usuwa ikonę.

 

Na temat używania ComboFix: KLIK.

 

 

 

.

[mercy275]

Dobrze, faktycznie, gapa ze mnie. Ale jak umieścic odpowiedni program na pulpicie mojego konta, jeżeli jego pliki są strzeżone?

[picasso]

Mówię wyraźnie:

 

Oczywiście, że spowoduje. Po pierwsze: infekcja jest na zupełnie innym koncie i dane o tym można pobrać będąc na tym koncie (konta mają kompletnie inne rejestry i foldery). Po drugie: konto ograniczone nie ma uprawnień i usuwanie nie jest możliwe. Czyli: startuj do Trybu awaryjnego, loguj się na właściwe konto i zrób logi do oceny.

 

Ty musisz opuścić to konto ograniczone i zalogować się na właściwe konto. W związku z istnieniem blokady musisz to wykonać z poziomu Trybu awaryjnego (wtedy blokada nie działa).

 

 

 

.

[mercy275]

Dziękuję Ci za cierpliwośc picasso - skończyłem skanowanie OTL, wrzucam raporty.

OTL.Txt

Extras.Txt

[picasso]

Możemy przejść do usuwania infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Kuba\AppData\Roaming\Zoic
C:\Users\Kuba\AppData\Roaming\Soan
C:\Users\Kuba\AppData\Roaming\Efgiot
C:\Users\Kuba\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11110.sys -- (EraserUtilDrv11110)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny, kolejne akcje już z poziomu Trybu normalnego:

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, YTD Toolbar v6.5. Od razu pozbądź się też zbędnego (funkcja zresztą komercyjna) COMODO GeekBuddy, kilka procesów odpadnie.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[mercy275]

Mój komputer działa już poprawnie.

 

Jeżeli to już wszystko, to bardzo Ci dziękuję za szybką i profesjonalną pomoc, picasso

AdwCleanerS1.txt

OTL.Txt

[picasso]

mercy275, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. Przecież ja potrzebuję czasu na odpowiedź ...

 

Czy jest jakiś szczególny powód dla którego ominąłeś usuwanie aplikacji GeekBuddy od COMODO? Jak mówiłam, zbędne toto (nie utracisz funkcji zasadniczych pakietu), a odzyskasz trochę sił w procesach. Poza tym szczegółem zadania wykonane, tylko kosmetyka i kończymy:

 

1. Poprawka na szczątki po AVG oraz pliki-śmieci robione przez GG10 (znów się pojawiły po czyszczeniu). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012/09/05 22:39:35 | 000,722,528 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
DRV - [2012/09/05 22:39:38 | 000,027,496 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\System32\drivers\avgtpx86.sys -- (avgtp)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
 
:Files
C:\Program Files\Common Files\AVG Secure Search
C:\Users\Kuba\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows, Java i Adobe: KLIK. Twój log mówi, że nie masz SP1 dla Windows 7 oraz są zainstalowane wersje:

 

 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

Wszystkie Adobe i Java odinstaluj przed instalacją najnowszych wersji.

 

 

PS. Co do wspominanego Gadu 10 ... Te pliki śmieciarskie będą się mnożyć na okrągło i to już okresowo należy samodzielnie sobie czyścić:

 

[2012/10/28 11:51:20 | 000,002,432 | ---- | M] () -- C:\Users\Kuba\AppData\Local\Tempsv2652.html
[2012/10/28 11:51:20 | 000,002,089 | ---- | M] () -- C:\Users\Kuba\AppData\Local\Tempuh2652.html
 
... i tak dalej

 

Ponadto, to zasobożerny powtór, który dręczy reklamami. Już lepiej byłoby przejść na najnowsze GG11, nie ma aż tak strasznych śmieci. Poza tym, są alternatywy z obsługą sieci Gadu: WTw, Kadu, Miranda, AQQ. Wszystko opisane tu: Darmowe komunikatory.

 

 

 

.

[mercy275]

No dobrze, zaraz to zrobię. A Geek Buddy nie usunąłem tradycyjną metodą, ponieważ nie znalazłem go na liście programów do usunięcia, a w folderze C:/Program Files/Comodo/Geek Buddy nie było deinstalatora. Usunąłem więc pliki ręcznie. A teraz zabieram się do owych zabiegów kosmetycznych.

 

P.S. Myślałem, że już zakończyliśmy pracę, więc po Twoim przedostatnim wpisie, a po moim ostatnim zamieszczeniu aktualnych logów, odpaliłem CCleaner. Mam nadzieję, że to nie spowoduje konieczności tworzenia nowych logów. Popraw mnie, jeżeli się mylę. Do tego czasu poczekam z czynnościami.

[picasso]

Usuwanie ręczne plików to zły sposób, przecież to nie usuwa usług GeekBuddy i stworzyłeś teraz nowe błędy. Czy na pewno ten program nie jest widoczny pod nazwą "GeekBuddy" (a nie COMODO GeekBuddy)? Ja widzę taki wpis w logu, czyli teoretycznie powinieneś to widzieć ...

[mercy275]

Już, zrobiłem co mi poleciłaś. Zamieściłem log, który się wytworzył po wykonaniu skryptu, a potem zrobiłem jeszcze jedną analizę.

Komputer śmiga jak złoto.

OTL.Txt

10282012_183900.txt

[picasso]

O logi już Cię nie prosiłam. A co do GeekBuddy, to tu podany log nie przedstawia, by cokolwiek było naruszone. Może COMODO to "zreperował" po Twoim usuwaniu ręcznym. Zostawmy już to. Ogólnie to tu skończyliśmy zadania.

[mercy275]

Dlatego bardzo serdecznie Ci dziękuję i pozdrawiam.