Skocz do zawartości

Ransomware


Rekomendowane odpowiedzi

Witam,

 

Dziś pierwszy raz, poza wzmiankami w artykułach, przyszło mi spotkać się z wirusem typu ransomware, który zadomowił się na komputerze mamy.

Po innych tematach widzę, że nie jest tak trudne usunięcie go, choć ten zdaje się być troszkę inny.

Stąd też gorąca prośba o pomoc - co tam moge wkleic by kompa odblokować.

Załączam wymagane logi.

 

Dziękuje serdecznie za pomoc!

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tu nie tylko "policyjny" trojan, ale także nieprawidłowo wyczyszczony rootkit ZeroAccess (widać link symboliczny, strumień ADS, plik "bez nazwy" w system32, uszkodzony Winsock, wartość Shell), ślady podpinania zainfekowanych USB oraz śmieci adware.

 

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB45783$

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Documents and Settings\kasia\Menu Start\Programy\Autostart\ctfmon.lnk

C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe

C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad

C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini

@C:\WINDOWS\3354652606:1091570744.exe

fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB45783$ /C

del "\\?\C:\Windows\System32\ " /C

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

""=-

 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada policyjna zniknie. Opuść Tryb awaryjny.

 

3. Zresetuj Winsock. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zatwierdź restart komputera.

 

4. Google Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z Conduit na Google, po tym Conduit usuń z listy.

 

5. Firefox: wyczyść z adware przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Wszystko zrobione.

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\$NtUninstallKB45783$
C:\WINDOWS\3354652606
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Otworzy się log z wynikami przetwarzania skryptu.

 

2. Pokaż ten log z wynikami. Nowy skan OTL nie jest potrzebny. Log będzie krótki = wklej wprost w poście.

 

Gdy potwierdzę wykonanie zadania, podam dalsze kroki.

 

 

 

.

Odnośnik do komentarza

Skrypt wklejony, jednak OTL wymusił restart, log po reboocie:

 

========== FILES ==========

C:\WINDOWS\$NtUninstallKB45783$\3203396551\U(2) folder moved successfully.

C:\WINDOWS\$NtUninstallKB45783$\3203396551\L(2) folder moved successfully.

C:\WINDOWS\$NtUninstallKB45783$\3203396551 folder moved successfully.

Folder move failed. C:\WINDOWS\$NtUninstallKB45783$ scheduled to be moved on reboot.

C:\WINDOWS\3354652606 moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found.

Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully.

 

OTL by OldTimer - Version 3.2.69.0 log created on 11192012_190911

Files\Folders moved on Reboot...

C:\WINDOWS\$NtUninstallKB45783$\3203396551 folder moved successfully.

Folder move failed. C:\WINDOWS\$NtUninstallKB45783$ scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Odnośnik do komentarza

Opór stawia odpadkowy folder po ZeroAccess: C:\WINDOWS\$NtUninstallKB45783$. Czyli nadal problem uprawnień.

 

1. Do GrantPerms wklej:

 

C:\WINDOWS\$NtUninstallKB45783

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\$NtUninstallKB45783

 

Klik w Wykonaj skrypt. Tak jak poprzednio = podaj log z wynikami przetwarzania.

 

 

 

.

Odnośnik do komentarza

Coś się nie zgadza, na pewno ten skrypt nie był omyłkowo uruchamiany dwa razy? W każdym razie sprawa wygląda na rozwiązaną na tym poziomie. Idziemy dalej:

 

1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę używanych oraz folder "Stare dane programu Firefox" na Pulpicie już dokasuj ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne (nie ekresowe) skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

Edytowane przez picasso
19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...