Policja cyberprzestępczość

[lapa]

Po włączeniu komputera pokazuje się ekran komputer zablokowany

 

bylbym wdzieczny za pomoc

Extras.Txt

OTL.Txt

[picasso]

Infekcji chmara. I tu jest podejrzenie cięższego rootkita Necurs, bo są takie oto pliki na dysku:

 

[2012-02-17 11:19:34 | 000,047,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\71ad7fe8cc0e54c1.sys
[2012-02-17 09:46:50 | 000,020,928 | ---- | C] () -- C:\Documents and Settings\leszek\zgtsysgh3a.exe

 

Blokada nie jest tak ważna jak to podejrzenie, bo jeśli ten ukryty rootkit jest, musi być usuwany jako pierwszy (blokuje funkcjonalność suystemu). Poproszę o zaległy obowiązkowy skan z GMER.

 

 

.

[lapa]

w tym programie co wiekszosc go uzywa on "wytwarza" tylko 2 pliki, które tutaj załączyłem, także nie wiem skad mam mam Ci wziasc jakis GMER

[picasso]

lapa czy Ty w ogóle raczyłeś przeczytać tutejsze zasady działu? Nie sądzę, bo w zasadach wszystko wyłożone i dokładnie pokazane ile programów się obowiązkowo uruchamia i jakie mają nazwy. A na dodatek kłania się brak uwagi. Podałam Ci link w poście powyżej! Kliknij w niebieski napis GMER ... Ten raport jest teraz wymagany, bo raport OTL sugeruje cięższą infekcję, która ma pierwszeństwo usuwania. Dopiero po tym zdejmę blokadę.

 

 

 

.

[lapa]

"Nie masz uprawnień do wysyłania tego typu plików"

 

wiec kopiuje tu

 

GMER 1.0.15.15641 - "http://www.gmer.net"

Rootkit scan 2012-11-14 10:37:16

Windows 5.1.2600 Dodatek Service Pack 3

Running: ql344buw.exe

 

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\System32\Drivers\71ad7fe8cc0e54c1.sys (*** hidden *** ) [bOOT] 71ad7fe8cc0e54c1 <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@ImagePath \SystemRoot\System32\Drivers\71ad7fe8cc0e54c1.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@Group Boot Bus Extender

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@Tag 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\71ad7fe8cc0e54c1@DisplayName zgtsysgh3a.exe

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@ImagePath \SystemRoot\System32\Drivers\71ad7fe8cc0e54c1.sys

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@Tag 1

Reg HKLM\SYSTEM\ControlSet002\Services\71ad7fe8cc0e54c1@DisplayName zgtsysgh3a.exe

 

---- EOF - GMER 1.0.15 ----

 

to są wyniki preskanu ponieważ nie moglem zrobic pełnego skanowania bo te opcje po prawej stronie były na szaro...

[picasso]

lapa, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast post pod postem. Sklejam oba posty powyżej.

 

Nie masz uprawnień do wysyłania tego typu plików"

 

Objaśniają to zasady działu oraz Pomoc forum (link na spodzie strony). Załączniki akceptują tylko rozszerzenie *.TXT, a Ty próbujesz wstawiać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Nie byłoby problemu, gdybyś podążył za opisem GMER 1:1, bo w opisie mówię, by użyć funkcję Kopiuj i ręcznie zapisać raport do nowego pliku, a nie używać opcję bezpośredniego zapisu.

 

 

to są wyniki preskanu ponieważ nie moglem zrobic pełnego skanowania bo te opcje po prawej stronie były na szaro...

 

Zszarzenie opcji to prawdopodobnie efekt działania infekcji rootkit:

 

 

---

Podejrzenie się sprawdziło, siedzi tu rootkit Necurs. Przechodzimy do usuwania infekcji, a usuwanie będzie wieloetapowe, bo multum infekcji i adware:

 

1. Uruchom zgodnie ze wskazówkami ESET Necurs Remover. Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\leszek\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\leszek\Ustawienia lokalne\Dane aplikacji\qufyy.izi
C:\Documents and Settings\leszek\Dane aplikacji\Dazeiq
C:\Documents and Settings\leszek\Dane aplikacji\OpenCandy
C:\Documents and Settings\leszek\Dane aplikacji\Ubko
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Program Files\Przyspiesz Komputer
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
netsh firewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{A0AF3882-1A84-435B-8D6B-1E660E95E1AF}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110826064900109&tb_oid=26-08-2011&tb_mrud=26-08-2011"
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110926&user_guid=3AA4FE4108314918ADA9D6D63270EBC0&machine_id=9fcde93e3e9ae979b15544e22a9eacfa&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
IE - HKCU\..\SearchScopes\{402F5F4A-1E37-45d6-BE14-67668DC275D2}: "URL" = "http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={14F66B78-AC8A-4B4D-990F-8FEA513DD485}&mid=0c6649d4a8b547d080951d560ecc8678-ff556c233ae2f10809b34fcf26cab856e1813837&lang=pl&ds=AVG&pr=fr&d=2012-06-12 14:38:33&v=11.0.0.9&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{A0AF3882-1A84-435B-8D6B-1E660E95E1AF}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110826064900109&tb_oid=26-08-2011&tb_mrud=26-08-2011"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKCU\..\SearchScopes\{CA7A0606-A811-47ef-92AB-858A0EB85891}: "URL" = "http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKLM..\Run: [startNowToolbarHelper] "C:\Program Files\StartNow Toolbar\ToolbarHelper.exe" File not found
O4 - HKCU..\Run: [{C5F769DD-AB21-AD75-D804-A0FBE44683E9}] C:\Documents and Settings\leszek\Dane aplikacji\Dazeiq\fica.exe ()
O4 - HKCU..\Run: [atx8mc7ywk] C:\Documents and Settings\leszek\atx8mc7ywk.exe File not found
O4 - HKCU..\Run: [ci5thv6f48] C:\Documents and Settings\leszek\ci5thv6f48.exe File not found
O4 - HKCU..\Run: [fykcisygfisy] C:\Documents and Settings\leszek\fykcisygfisy.exe File not found
O4 - HKCU..\Run: [ixl8dmxyx6] C:\Documents and Settings\leszek\ixl8dmxyx6.exe File not found
O4 - HKCU..\Run: [qypagipecaby] C:\Documents and Settings\leszek\qypagipecaby.exe File not found
O4 - HKCU..\Run: [tojygjonirre] C:\Documents and Settings\leszek\tojygjonirre.exe File not found
O4 - HKCU..\Run: [zgtsysgh3a] C:\Documents and Settings\leszek\zgtsysgh3a.exe ()
O4 - HKCU..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk ()
O29 - HKLM SecurityProviders - (OstilqeDfast.dll) - C:\WINDOWS\System32\OstilqeDfast.dll ()
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

3. Są tu czynne komponenty dwóch antywirusów Avast + Norton AntiVirus 2004. Avast wygląda na pozornie niepoprawnie odinstalowany. A Norton AntiVirus 2004?! Tragedia! Nigdy nie instaluj takich rzeczy (tak stary antywirus jest bezwartościowy + może tworzyć problemy / konflikty w systemie), czym prędzej pozbądź się tego. Przez Dodaj/Usuń programy odinstaluj Norton AntiVirus 2004 oraz powiązane LiveReg (Symantec Corporation) + LiveUpdate 1.90 (Symantec Corporation). Następnie wejdź w Tryb awaryjny Windows i zastosuj te dwa narzędzia: Avast Uninstall Utility, Norton Removal Tool.

 

4. Przez Dodaj/Usuń programy odinstaluj adware Ask Toolbar, Download Updater (AOL LLC), StartNow Toolbar, uTorrentBar Toolbar, vShare.tv plugin 1.3. Winamp Toolbar.

 

5. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz logi utworzone przez AdwCleaner + Junkware Removal Tool.

 

 

 

.

[lapa]

postąpiłem według instrukcji i dodaje załączniki

AdwCleanerS1.txt

gmer.txt

JRT.txt

OTL.Txt

[picasso]

Wszystko pomyślnie wykonane i wygląda znacznie lepiej, zostały tylko poprawki. Ale ... GMER wygląda niepokojąco, sugeruje obecność kolejnego rootkita, tym razem w MBR dysku. Zrób skan za pomocą Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nie usuwaj tylko przyznaj akcję Skip i zaprezentuj log ze skanu (na dysku C powstanie).

 

 

 

.

[lapa]

zalacznik ze skanu

TDSSKiller.2.8.15.0_14.11.2012_14.11.20_log.txt

[picasso]

Potwierdzenie rootkita w MBR jest, TDSSKiller precyzyjnie rozpoznał infekcję.

 

1. Uruchom TDSSKiller, ale tym razem dla wyniku Rootkit.Boot.Wistler.a wyasygnuj akcję Cure. Zresetuj system.

 

2. Zrób nowy log z GMER. Dołącz log TDSSKiller z wynikami usuwania.

 

 

.

[lapa]

gmer i tdsskiller

TDSSKiller.2.8.15.0_14.11.2012_14.30.33_log.txt

gmerr.txt

[picasso]

Infekcja w MBR prawidłowo usunięta. Kolejne działania:

 

1. Poprawki na odpadki po infekcjach / antywirusach oraz szczątki Google Chrome (wygląda na odinstalowane). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\71ad7fe8cc0e54c1.sys -- (71ad7fe8cc0e54c1)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKCU..\Run: [{C5F769DD-AB21-AD75-D804-A0FBE44683E9}] "C:\Documents and Settings\leszek\Dane aplikacji\Dazeiq\fica.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error)
 
:Files
C:\WINDOWS\System32\drivers\71ad7fe8cc0e54c1.sys.vir
C:\Documents and Settings\leszek\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\leszek\Dane aplikacji\Symantec
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_CURRENT_USER\Software\Google]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniżej zakreślone foldery oraz resztę używanych narzędzi.

 

C:\JRT

C:\TDSSKiller_Quarantine

C:\WINDOWS\ERUNT

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dużo infekcji tu było, należy potwierdzić czystość poprzez dodatkowe skany. Po kolei przeprowadź skanowanie za pomocą: Hitman Pro, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware (przy pytaniu o wersję wybierz darmową). W opcjach programów ustaw pełny skan. Jeżeli coś zostanie wykryte przez te skanery, przedstaw ich raporty.

 

 

 

.

[lapa]

ten Kaspersky Virus Removal Tool zajmuje 137mb czy sciagam cos zlego?

[picasso]

Prawidłową wersję ściągasz. Ona tyle waży.

[lapa]

thx, posciagam, i zabieram sie do dalszego działania

 

hitmanPro juz cos wykrył, kaspersky nic

hitmanpro.txt

[picasso]

Hitman wykrył C:\Documents and Settings\leszek\Pulpit\JRT.exe, czyli narzędzie Junkware Removal Tool. To fałszywy alarm. I nie wygląda byś wykonał to (sprzątanie było celowe, by uniknąć detekcji głupot w komponentach konkurencyjnych skanerów):

 

2.Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniżej zakreślone foldery oraz resztę używanych narzędzi.

 

C:\JRT

C:\TDSSKiller_Quarantine

C:\WINDOWS\ERUNT

 

A pozostałe wykryte (szczątki po pasku Ask i Cookies) do usunięcia Hitmanem. Czekam na wyniki skanowania dwóch pozostałych programów. Przypominam: skany skonfigurowane na pełne.

 

 

.

[lapa]

sory wczesniej nie zauwazylem ze to tez napisalas

"C:\TDSSKiller_Quarantine"

 

czy powinienem juz wlaczyc "przywracanie systemu"?

mbam log.txt

[picasso]

Wyniki MBAM: cóż, "cukier" do AutoCAD, a za to głowy nie dam. Wyniki Kasperskiego: to nie jest właściwy log (usuwam), mnie interesują tylko wyniki typu "Detected", a skoro twierdzisz "kaspersky nic " = nie ma co pokazywać. Ale coś za szybko ten skan zrobiony, czy na pewno w opcjach zmieniłeś i zaznaczyłeś wszystko do skanu?

 

1. Usuń Kaspersky Virus Removal Tool. To skaner jednorazowy bez aktualizacji (wygasa). Dwa pozostałe możesz pozostawić do długofalowych skanów ręcznych.

 

2. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu masz obecnie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: odinstaluj wszystkie zakreślone powyżej pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zainstaluj pakiet SP3 dla Office 2007.

 

3. Możesz już włączyć Przywracanie systemu.

 

4. Zaopatrz się w oprogramowanie zabezpieczające z osłoną rezydentną. Przykładowe darmowe propozycje:

• Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall
  
• Antywirus: Avast, AVG, Panda Cloud Antivirus
  
• Pakiet: COMODO Internet Security
  

5. Dla bezpieczeństwa zmień hasła logowania w serwisach (poczta / bank / serwisy społecznościowe etc.)

 

 

PS. Widzę tu Gadu-Gadu 10. Ciężki zasobożerny program dręczący system, więcej reklam niż faktycznych funkcji. Polecam przyjaźniejsze alternatywy z obsługą sieci Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK.

 

 

 

.

[lapa]

ok dzieki za pomoc!

[picasso]

Szybko zmykasz. Naciskam: wykonaj wszystkie kroki z aktualizacjami, wymianą haseł i instalacją ochrony. To jest ważne. Były tu dwie poważne infekcje rootkit.

[lapa]

Szybko zmykasz. Naciskam: wykonaj wszystkie kroki z aktualizacjami, wymianą haseł i instalacją ochrony. To jest ważne. Były tu dwie poważne infekcje rootkit.

 

zmieniam zmieniam, aktualizuje i sciagam wszystko co napisalas nie wiem czemu ale tego service paka 3, do ktorego dalas linka nie potrafie zainstalowac, jakis blad wyskakuje

[picasso]

nie wiem czemu ale tego service paka 3, do ktorego dalas linka nie potrafie zainstalowac, jakis blad wyskakuje

 

Ale jaki błąd? Przepisz dokładnie 1:1 co się pokazuje.

 

 

 

.

[lapa]

juz ok, udalo sie zainstalowac