Polska policja cyberprzestępczość departament

[HUGOLOT]

Witam.

Jeszcze raz muszę prosić o pomoc.

Po włączeniu laptopa ASUS A52F pojawił się komunikat "Polska policja cyberprzestępczość departament"

Nie mogę nic zrobić, jedynie tryb awaryjny działa.

Wcześniej już pojawił się taki komunikat, wtedy ktoś inny mi pomagał, ale nie wiem co było robione. Ale komunikat później nie wyskakiwał.

Zrobiłem logi w trybie awaryjnym, nie było wyboru administratora, tylko użytkownik.

Proszę o pomoc.

Extras.Txt

OTL.Txt

1234.txt

[picasso]

"Policja" to nie jedyny i nie najgorszy problem. Tu działa także trojan ZeroAccess, a konsekwencje jego pobytu to liczne szkody systemowe (usunięte usługi).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{93C6E315-AB5A-488F-B545-6CB50D8ED744}: "URL" = "http://www.tangosearch.com/?q={searchTerms}&a=SEARCH"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={1424F349-2FD5-4072-87E5-C9CBC3BF09AE}"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}: C:\Users\Patrycja i Rafal\AppData\Roaming\Mozilla\FireFox\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}
O4 - HKU\S-1-5-21-4092845599-3083984447-49105306-1000..\Run: [Adobe ARM] C:\ProgramData\ifgxpers.exe (Корпорация  Майкрософт)
O4 - HKU\S-1-5-21-4092845599-3083984447-49105306-1000..\Run: [GabPath] C:\Users\Patrycja i Rafal\AppData\Roaming\GabPath\gabpath.exe File not found
O4 - HKU\S-1-5-21-4092845599-3083984447-49105306-1000..\Run: [svchost] C:\Users\Patrycja i Rafal\AppData\Roaming\svchost.exe ()
O4 - HKU\S-1-5-21-4092845599-3083984447-49105306-1000..\Run: [ziqokifixubg] C:\Users\Patrycja i Rafal\ziqokifixubg.exe ()
O4 - Startup: C:\Users\Patrycja i Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk =  File not found
[2013-01-23 21:34:22 | 000,132,096 | ---- | C] (Корпорация  Майкрософт) -- C:\Users\Patrycja i Rafal\AppData\Roaming\csrsss.exe
[2013-01-23 21:33:33 | 002,250,054 | ---- | M] () -- C:\ProgramData\1.bmp
[2013-01-23 21:33:18 | 000,448,130 | ---- | M] () -- C:\ProgramData\1.jpg
[2013-01-21 17:20:23 | 000,000,000 | ---D | C] -- C:\Users\Patrycja i Rafal\AppData\Roaming\{0AA964C2-96F4-4365-947D-8801092F8E60}
[2012-05-06 10:19:18 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-03-25 21:41:38 | 000,000,000 | ---D | M] -- C:\Users\Patrycja i Rafal\AppData\Roaming\Babylon
[2011-04-23 10:32:32 | 000,000,000 | ---D | M] -- C:\Users\Patrycja i Rafal\AppData\Roaming\GabPath
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. Blokada zniknie, ale bynajmniej nie koniec działań, to ledwie początek.

 

2. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f

reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

3. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin /R /A /D Y

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-4092845599-3083984447-49105306-1000\$72b5ace9fa03c5ea6b39d4616c130bca /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system.

 

4. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.6 oraz stary Avast.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook x64 i w oknie wklej:

 

:dir

C:\$Recycle.Bin /s
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[HUGOLOT]

Co do punktu trzeciego to odczytałem coś takiego z okna na czarnym tle:

 

C:\$Recykle.Bin\S-1-5-18 - Odmowa dostępu

 

Miałem problem z odinstalowaniem SweetPacks Toolbar for Internet Explorer 4.6 nie chciał się odinstalować stanęło tak za połową i zero reakcji. Również Avast nie chciał się odinstalować z panela, nie było żadnej reakcji, nawet nie włączyło się okno deinstalacji.

AdwCleanerS1.txt

OTL.Txt

FSS.txt

SystemLook.txt

[picasso]

Prawie wszystko wykonane. Teraz pójdą poprawki oraz naprawa szkód poczynionych przez ZeroAccess.

 

 

C:\$Recykle.Bin\S-1-5-18 - Odmowa dostępu

 

Owszem, ten folder ZeroAccess ostał się w Koszu, załatwimy go w tym podejściu.

 

 

Miałem problem z odinstalowaniem SweetPacks Toolbar for Internet Explorer 4.6 nie chciał się odinstalować stanęło tak za połową i zero reakcji. Również Avast nie chciał się odinstalować z panela, nie było żadnej reakcji, nawet nie włączyło się okno deinstalacji.

 

Nie widzę już śladów SweetPacks w logu. Natomiast Avast będzie usuwany awaryjną metodą.

 

 

1. Wykończ to co w Koszu. Otwórz Notatnik i wklej w nim:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y
icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

2. Odbuduj skasowaną ikonę Centrum Akcji i skoryguj domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz opcję Scal.

 

3. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

4. Przejdź w Tryb awaryjny i zastosuj specjalizowany usuwacz Avast Uninstall Utility.

 

5. Zrób nowe logi: OTL z opcji Skanuj, Farbar Service Scanner + SystemLook na te same warunki co poprzednio.

 

 

 

 

.

 

[HUGOLOT]

Ponownie punkt 1:

 

C:\$Recycle.Bin\S-1-5-18 - Odmowa dostępu

Extras.Txt

OTL.Txt

FSS.txt

SystemLook.txt

[picasso]

Naprawy wykonane, ale:

 

1. Avast nie do końca usunięty i działa w tle ta usługa:

 

SRV:64bit: - [2009-11-24 23:43:56 | 000,018,752 | ---- | M] (ALWIL Software) [Auto | Running] -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe -- (aswUpdSv)

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
aswUpdSv
 
:Files
C:\Program Files\Alwil Software

 

Klik w Wykonaj skrypt. Zachowaj do prezentacji log z usuwania, tyle wystarczy. Nowy skan OTL nie jest potrzebny.

 

2. Co do Kosza z zablokowanym obiektem ZeroAccess. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y

 

Następnie wklej komendę:

 

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

 

Przeklej mi z okna co się pokazuje przy przetwarzaniu tych komend.

 

 

 

.

[HUGOLOT]

log i zrzut ekranu po komendach

 

========== SERVICES/DRIVERS ==========

Service aswUpdSv stopped successfully!

Service aswUpdSv deleted successfully!

========== FILES ==========

C:\Program Files\Alwil Software\Avast4\Setup\INF\IA64 folder moved successfully.

C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64 folder moved successfully.

C:\Program Files\Alwil Software\Avast4\Setup\INF folder moved successfully.

C:\Program Files\Alwil Software\Avast4\Setup folder moved successfully.

C:\Program Files\Alwil Software\Avast4\POLISH\HtmlData folder moved successfully.

C:\Program Files\Alwil Software\Avast4\POLISH\HELP folder moved successfully.

C:\Program Files\Alwil Software\Avast4\POLISH folder moved successfully.

C:\Program Files\Alwil Software\Avast4\images folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\spool\suspic folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\spool folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\Skin folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\report folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\moved folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\log folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\journal folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\integ folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\chest folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA\backup folder moved successfully.

C:\Program Files\Alwil Software\Avast4\DATA folder moved successfully.

C:\Program Files\Alwil Software\Avast4 folder moved successfully.

C:\Program Files\Alwil Software folder moved successfully.

 

OTL by OldTimer - Version 3.2.69.0 log created on 02022013_204138

[picasso]

Pierwsza komenda ma błąd składni, nie wiem dlaczego, skoro spis komend TAKEOWN dopuszcza to:

 

TAKEOWN [/s system [/u nazwa_użytkownika [/P [hasło]]]]
        /F nazwa_pliku [/A] [/R [/D monit]]
 
/D monit                Domyślna odpowiedź stosowana w przypadku, gdy
                        bieżący użytkownik nie ma uprawnienia "wyświetlanie
                        folderu" w katalogu. Dzieje się tak podczas
                        rekursyjnego (/R) w podkatalogach.
                        Prawidłowe wartości:
                        "Y", aby przejąć na własność, lub "N", aby pominąć.

 

Chyba, że ma być "T" (od Tak) a nie "Y" (od Yes). Mam angielski Windows spolszczany przez MUI, a to oznacza różne "subtelności".

 

1. W cmd wklej tę komendę i w razie monitu ręcznie zatwierdź:

 

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A

 

Następnie tę:

 

icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T

 

Na koniec:

 

rd /s /q C:\$Recycle.Bin\S-1-5-18

 

2. Zrób skan SystemLook na warunek:

 

:dir
C:\$Recycle.Bin /s

 

 

 

.

[HUGOLOT]

Ach ten Windows. Chcą po angielsku Yes "Y", a klepiesz Tak "T" i wszystko idzie...

Poszło...

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:34 on 03/02/2013 by Patrycja i Rafal

Administrator - Elevation successful

 

========== dir ==========

 

C:\$Recycle.Bin - Parameters: "/s"

 

---Files---

None found.

 

C:\$Recycle.Bin\S-1-5-21-4092845599-3083984447-49105306-1000 d--hs-- [16:53 02/02/2013]

$IM1VH8R.BAT --a---- 544 bytes [16:53 02/02/2013] [16:53 02/02/2013]

$RM1VH8R.BAT --a---- 132 bytes [16:50 02/02/2013] [16:50 02/02/2013]

desktop.ini --ahs-- 129 bytes [16:53 02/02/2013] [16:53 02/02/2013]

 

-= EOF =-

[picasso]

Sprawa załatwiona, jedziemy dalej:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę używanych ręcznie usuń.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Dla pewności zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[HUGOLOT]

Nie robiłem aktualizacji Malwarebytes Anti-Malware miałem problem z połączeniem przez wifi, więc poszło bez aktualizacji 52dni.

MBAM-log-2013-02-04 (20-58-31).txt

[picasso]

Wszystkie wyniki znalezione przez program do usunięcia. Czy problem z połączeniem Wi-Fi nadal istnieje? Wypadałoby powtórzyć skan na najnowszych definicjach.

 

 

 

.

[HUGOLOT]

Wi-Fi już działa.Skan powtórzyłem po aktualizacji, wyszły te same wyniki.Poszło wszystko do śmieci.

[picasso]

Na zakończenie:

 

1. Do aktualizacji poniżej wyliczone programy i cały Windows: KLIK. Wg raportu są tu wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 29
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome
"Mozilla Firefox 18.0 (x86 pl)" = Mozilla Firefox 18.0 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

2. Zainstaluj najnowszą wersję Avast.

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

 

.

[HUGOLOT]

Wszystko poszło.Jeszcze tylko Avast.