Policyjna nakładka

[Tedi1]

Witam.

 

Proszę o pomoc:

 

Po podłączeniu do internetu komputer jest blokowany przez "policyjną" nakładkę.

 

Załączam logi z OLT zrobione bez połączenia internetowego.

 

Załączone pliki

Extras.Txt

OTL.Txt

[picasso]

Od razu będę usuwać szczątki po Firefox.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\netdislw.pad
C:\Users\Paweł\AppData\Roaming\OpenCandy
C:\Users\Paweł\AppData\Roaming\Mozilla
C:\Program Files\mozilla firefox
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={1BD3FE87-EBD0-4A44-96DD-0869D764064D}"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=U3&apn_dtid=OSJ111YYPL&apn_uid=D4936399-048F-44BA-85DD-2533338C821F&apn_sauid=EBF3A071-E748-430F-BA03-6DDE0C468997"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={EB13930C-2F76-4E9D-9A58-60FB91EC25BA}&mid=623cee8a51b147d18285d15f7034e27f-a58ee0bfdcf8548aae8c1dea2ad3a55bfb15fcdd&lang=pl&ds=AVG&pr=pr&d=2012-02-26 21:35:33&v=10.0.0.7&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={1BD3FE87-EBD0-4A44-96DD-0869D764064D}"
IE - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O3 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-2629612488-1178707905-1192735613-1000..\Run: []  File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, MediaBar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Tedi1]

Po restarcie wyskoczył komunikat:

RunDLL

Wystąpił błąd podczas ładowania

C:\Users\PAWE-1 AppData\Load\Temp|wlsidten.dll

Nie można odnaleśc określonego modułu

OTL.Txt

AdwCleanerS1.txt

[picasso]

ally54

 

Proszę przeczytać zasady działu: KLIK. Tu nie wolno się dopisywać. Temat wydzielony: KLIK.

 

 

Tedi1

 

Nie zwróciłam na to wcześniej uwagi. Użyłeś stary OTL 3.2.65.1. I log jest źle zrobiony - w ogóle nie zaznaczony skan rejestru. Co więcej, jest nowa niekorzystna zmiana. Pojawiła się w Twoim raporcie znacznie gorsza infekcja niż "policja". Tu działa rootkit ZeroAccess, który niszczy usługi w systemie. Proszę o nowe skany:

 

1. Pobierz najnowszy OTL i zrób logi jeszcze raz zgodnie z instrukcjami: KLIK.

 

2. Uruchom SystemLook i w oknie wklej:

 

:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

3. Zrób log z Farbar Service Scanner.

 

 

 

 

.

[Tedi1]

W załączeniu logi:

OTL.Txt

Extras.Txt

SystemLook.txt

FSS.txt

[picasso]

Skany potwierdzają, rootkit ZeroAccess występuje tu aż w dwóch wariantach: wariant modyfikujący systemowy plik services.exe + wariant CLSID. Poza tym, trojan stworzył liczne szkody. Log z SystemLook mówi, że została wyłączona ikona Centrum w obszarze powiadomień. Log z Farbar Service Scanner mówi, że z systemu zostały skasowane usługi: Zapory systemu Windows, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender. Dużo roboty przed nami:

 

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć leczenie pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{35b0d047-9622-d3b3-4633-303aecfcb323}
C:\Users\Paweł\AppData\Local\{35b0d047-9622-d3b3-4633-303aecfcb323}
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Zniknie błąd z wlsidten.dll.

 

4. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

5. Zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner + SystemLook na te same warunki co poprzednio + zaległy GMER.

 

 

 

.

[Tedi1]

W załaczeniu logi:

 

Wystąpił komunikat

 

Edytor rejestru

Nie można importować FIX.REG.

Określony plik nie jest skryptem rejestru.

Można importować tylko binarne pliki rejestru

z wewnątrz Edytora rejestru.

 

Po restarcie komputera znikł błąd pliku wlsidten.dll

OTL.Txt

FSS.txt

SystemLook.txt

GMER.txt

[picasso]

Po restarcie komputera znikł błąd pliku wlsidten.dll

 

Wiem o tym, przecież zadałam określone czynności.

 

 

Edytor rejestru

Nie można importować FIX.REG.

Określony plik nie jest skryptem rejestru.

Można importować tylko binarne pliki rejestru

z wewnątrz Edytora rejestru.

 

Nie wkleiłeś obowiązkowego nagłówka pliku Windows Registry Editor Version 5.00. To on identyfikuje plik jako plik rejestru.

 

 

---

Plik services.exe wyleczony, usługi odbudowane, ale wymagane poprawki.

 

1. Poprzedni FIX.REG (po skorygowaniu zawartości) nadal aktualny. Po jego zaimportowaniu zresetuj system.

 

2. Zrób nowy skan SystemLook na warunek:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

 

.

[Tedi1]

Nowy skan SystemLook.

SystemLook.txt

[picasso]

Wystarczy jeden log, ich treść jest identyczna. Reset tu był w innym celu: ożywienie ikony Centrum Zabezpieczeń w zasobniku systemowym. Akcja zrobiona, lecimy dalej:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, resztę narzędzi i FIXy skasuj już ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware. Przy pytaniu o typ wersji wybierz darmową a nie komercyjną (by nie został zainstalowany rezydent, który może się kłócić z AVG). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

 

.

[Tedi1]

Wielkie dzięki z fachową pomoc

 

Z okazji zbliżających się Świąt życzę zdrowia,wielu powodów do radości,dni bez chmur,ale za to pełnych radości

[picasso]

Czy to oznacza zero znalezionych? Jeśli tak, to na zakończenie należy:

 

1. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu krytyczny poziom aktualizacji Vista (i odcięcie od aktualizacji = tylko Vista SP2 ma wsparcie) oraz są zainstalowane wersje:

 

Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"ENTERPRISE" = Microsoft Office Enterprise 2007

 

W podsumowaniu: odinstaluj wszystkie zakreślone tu stare pozycje Adobe + Java i zastąp najnowszymi, wykonaj pełną aktualizację Vista (SP2 + IE9 + reszta łat z Windows Update), zainstaluj pakiet SP3 dla Office 2007.

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Z okazji zbliżających się Świąt życzę zdrowia,wielu powodów do radości,dni bez chmur,ale za to pełnych radości

 

Dziękuję. I wzajemnie.

 

 

 

.

 

[Tedi1]

Jeszcz raz bardzo dziękuję za pomoc i dostosuje się do twoich wskazówek.

 

Pozdrawiam.