Departament cyberprzestępczości + brak internetu

[romo]

witam

znajomy prosił mnie o pomoc. Miał problem z zablokowanym komputerem prze znany wirus "Departament cyberprzestępczości". Próbował pozbyć się go combofixem - pomogło połowicznie. Teraz komputer nie wyświetla już informacji o blokadzie komputera, Windows 7 pracuje w trybie normalnym. Nie ma jednak połączenia z internetem. Mogę pingować router, ale nie mam możliwości przeglądania stron internetowych. Z tego co widzę to przy próbie wejścia na jakąkolwiek stronę w IE ładuje się plik ieframe.dll

W załączniku raporty z OTL.

 

 

Proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Oznak infekcji brak. Wnioski: usunął ją ComboFix. Tu tylko drobne adware będzie do usunięcia:

 

1. Przez Panel sterowania odinstaluj adware Conduit Engine + YTD Video Downloader.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchw7th.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\ProgramData\Ask
C:\Users\Dom\AppData\Roaming\vegas-pro-keygen
C:\Windows\System32\drivers\stub.exe
C:\Windows\System32\drivers\temp123.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKLM\..\SearchScopes\{BF05C840-34CE-4460-B0CE-A5036995F136}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=4821edd7-2375-11e1-b47a-0018f309c7d3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}"
IE - HKLM\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Dom\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Dom\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz:

 

 

Próbował pozbyć się go combofixem - pomogło połowicznie.

 

Zasady działu wyraźnie mówią, by zaprezentować raport utworzony przez to narzędzie, jeśli je samowolnie uruchamiano. Przedstaw C:\ComboFix.txt. A znajomemu pokaż to: KLIK.

 

 

Nie ma jednak połączenia z internetem. Mogę pingować router, ale nie mam możliwości przeglądania stron internetowych. Z tego co widzę to przy próbie wejścia na jakąkolwiek stronę w IE ładuje się plik ieframe.dll

 

To nie ma związku z tą infekcją, nie ingeruje ona w układ sieciowy. Za to ComboFix owszem i to brutalnie. Jeśli problem z siecią nie istniał przed infekcją, sieć padła na skutek uruchomienia ComboFix.

 

 

 

.

Edytowane 14 Grudnia 2012 przez picasso
14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso