Komputer został zablokowany z powodu naruszenia prawa polskiego UCASH

[kyko1916]

tak jak w temacie ,wyświetla się ten komunikat ,godło polski oraz podpis że trzeba zapłacić 500 zł

w załaczniku dodaję skan combofix i raport OTL

 

jakby co to mam dwa konta na komputerze i tylko na jednym się to wyświetliło a owe raporty robię z drugiego konta do którego mam swobodny dostęp ,mam nadzieję że to nie ma wpływu

combofix.txt

OTL.Txt

Extras.Txt

[picasso]

Na temat używania ComboFix: KLIK. Zasady działu jakie raporty tu się podaje: KLIK. Proszę dostarczyć rapoty z OTL. EDIT: Dostarczone, posty dla porządku sklejam w całość.

 

 

jakby co to mam dwa konta na komputerze i tylko na jednym się to wyświetliło a owe raporty robię z drugiego konta do którego mam swobodny dostęp ,mam nadzieję że to nie ma wpływu

 

Tak właśnie sądziłam, bo w logach brak oznak infekcji. Wszystkie podane tu logi od ComboFix (nie usuwał infekcji) aż po OTL są bezużyteczne. Konta mają inne rejestry i foldery, nie widzą między sobą zawartości. Jeśli infekcja działa na konkretnym koncie, logi muszą być zrobione z poziomu tego konta, by były dane tego konta.

 

Zastartuj do Trybu awaryjnego, zaloguj się na właściwe konto i zrób nowe logi z OTL. Opcja "Rejestr skan dodatkowy" ma być ustawiona na "Użyj filtrowania", by po raz drugi powstał plik Extras.

 

 

 

.

[kyko1916]

1 mam problem do wejscia w tryb awaryjny

2 kiedy juz mi się to udało po wyborze konta pojawił się komunikat "system nie może nawiązać połączenia z usługą SENS"

[picasso]

Na koncie Anna przenieś pobrany OTL ze ścieżki C:\Users\ANNA\Downloads\OTL.exe wprost na C:\. Następnie zastartuj do Trybu awaryjnego z Wierszem polecenia i w linii komend wklep C:\OTL.exe i ENTER. Zrób skan OTL i dostarcz logi.

 

 

 

.

[kyko1916]

ale mam to uruchomić na koncie anna czy na zainfekowanym ?

[picasso]

Oczywiście na zainfekowanym. Przecież cały czas mówię, że logi muszą być zrobione z poziomu zainfekowanego konta a nie tego na którym nie ma problemu.

 

 

[kyko1916]

tak myślałem ale gdy to próbowałem zrobić to również pojawił się komunikat "system nie może nawiązać połączenia z usługą SENS"

[picasso]

W takiej sytuacji dane pobierz nie spod załadowanego Windows: klawisz F8 > Napraw komputer > Wiersz polecenia > zrób log z FRST.

 

 

.

[kyko1916]

mam nadzieję ze to o to chodziło

(zrobiłem to z konta Anna gdyż do zainfekowanego konta wymagano hasła a hasła na nim nie ma )

FRST.txt

[picasso]

Z raportu wynika, że zablokowane jest konto Gość.

 

1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

C:\Users\Gość\AppData\Roaming\skype.dat
C:\Users\Gość\AppData\Roaming\skype.ini
HKU\Gość\...\Winlogon: [shell] explorer.exe,C:\Users\Gość\AppData\Roaming\skype.dat [110592 2011-11-17] ()
HKU\Gość\...\Run: [Optimizer Pro] C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [79664 2012-06-10] (PC Utilities Pro)
HKU\ANNA\...\Run: [PCSpeedUp] C:\Program Files (x86)\Przyspiesz Komputer\PCSpeedUp.lnk [2235 2012-01-13] ()
HKU\ANNA\...\Run: [Optimizer Pro] C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [79664 2012-06-10] (PC Utilities Pro)
HKLM-x32\...\Run: []  [x]
HKLM-x32\...\Run: [ExpressFiles] "C:\Program Files (x86)\ExpressFiles\ExpressFiles.exe" -tray [326776 2012-01-17] ("http://www.express-files.com/")
HKLM-x32\...\Run: [browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe [147784 2012-02-15] ()
HKLM-x32\...\Run: [searchSettings] "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe" [524288 2010-11-18] (Spigot, Inc.)
HKLM-x32\...\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.)
2 PCSUService; C:\Program Files (x86)\Przyspiesz Komputer\PCSUService.exe [235232 2011-11-07] ()
3 catchme; \??\C:\ComboFix\catchme.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Plik ten musisz umieścić w tym samym miejscu z którego uruchamiałeś FRST.

 

2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i tym razem zastosuj opcję Fix. Wynikowo powstanie plik fixlog.txt.

 

3. Sprawdź czy komputer odblokowany. Dołącz fixlog.txt.

 

Jeśli tak, trzeba będzie się zabrać za czyszczenie konta Anna ze śmieci. Podam co i jak ale najpierw odblokowanie.

 

 

 

.

[kyko1916]

wielkie dzięki jesteś genialna wszystko pięknie działa

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03

Ran by SYSTEM at 2013-02-02 16:01:11 Run:1

Running from K:\

 

==============================================

 

C:\Users\Gość\AppData\Roaming\skype.dat moved successfully.

C:\Users\Gość\AppData\Roaming\skype.ini moved successfully.

HKEY_USERS\Gość\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.

HKEY_USERS\Gość\Software\Microsoft\Windows\CurrentVersion\Run\\Optimizer Pro Value deleted successfully.

HKEY_USERS\ANNA\Software\Microsoft\Windows\CurrentVersion\Run\\PCSpeedUp Value deleted successfully.

HKEY_USERS\ANNA\Software\Microsoft\Windows\CurrentVersion\Run\\Optimizer Pro Value deleted successfully.

HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ Default Value restored successfully.

HKEY_LOCAL_MACHINE\software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ExpressFiles Value deleted successfully.

HKEY_LOCAL_MACHINE\software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Browsers Protector Value deleted successfully.

HKEY_LOCAL_MACHINE\software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SearchSettings Value deleted successfully.

HKEY_LOCAL_MACHINE\software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SweetIM Value deleted successfully.

HKEY_LOCAL_MACHINE\software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Sweetpacks Communicator Value deleted successfully.

PCSUService service deleted successfully.

catchme service deleted successfully.

 

==== End of Fixlog ====

[picasso]

Przechodzimy do czyszczenia konta Anna, akcje będą się odbywać będąc zalogowanym na tym koncie (a nie na odblokowanym Gościu):

 

1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Browsers Protector, Chrome toolbar by SweetPacks, Contextual Tool Extrafind, DirectDownloader, ExpressFiles, Internet Explorer Toolbar 4.6 by SweetPacks, IObit Toolbar v4.1, Optimizer Pro v3.0, PCSpeedUp, Przyspiesz Komputer, StartSearch Toolbar 1.3, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, uTorrentBar Toolbar. Poza tym usuń też SpyHunter = skaner wątpliwej reputacji.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=2.03001.103002&st=12&q={searchTerms}&barid={A0586099-F35C-11E1-8C09-D4BED9DE4915}"
IE - HKU\S-1-5-21-3053537746-2696407567-3073121072-1001\..\SearchScopes\{02FAA5B1-9A5F-4E3F-A13B-0D66BBA52235}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=9a7cd96c-6f9c-11e1-ae5c-d067e513b925&q={searchTerms}"
IE - HKU\S-1-5-21-3053537746-2696407567-3073121072-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=522fd269000000000000d067e513b925"
IE - HKU\S-1-5-21-3053537746-2696407567-3073121072-1001\..\SearchScopes\{C91A3E7A-1FC8-43FC-97AB-9685375664EA}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms}"
IE - HKU\S-1-5-21-3053537746-2696407567-3073121072-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=2.03001.103002&st=12&q={searchTerms}&barid={A0586099-F35C-11E1-8C09-D4BED9DE4915}"
O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.1\iobitToolbarIE.dll File not found
O2 - BHO: (BitAccelerator) - {CAC42510-9B41-42c1-9DCD-7282A2D07C61} - C:\Program Files (x86)\BitAccelerator\BitAccelerator.dll File not found
O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.1\iobitToolbarIE.dll File not found
O7 - HKU\S-1-5-21-3053537746-2696407567-3073121072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Files
C:\Users\ANNA\AppData\Roaming\mozilla\Firefox\Profiles\s597b9z4.default\prefs.js
C:\Users\ANNA\AppData\Roaming\mozilla\Firefox\Profiles\s597b9z4.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
C:\Users\ANNA\AppData\Roaming\mozilla\Firefox\Profiles\s597b9z4.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
C:\Users\ANNA\AppData\Roaming\mozilla\firefox\profiles\s597b9z4.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Users\ANNA\AppData\Roaming\mozilla\firefox\profiles\s597b9z4.default\searchplugins\conduit.xml
C:\Users\ANNA\AppData\Roaming\mozilla\firefox\profiles\s597b9z4.default\searchplugins\startsear.xml
C:\Users\ANNA\AppData\Roaming\mozilla\firefox\profiles\s597b9z4.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\extensions\{5ddeb737-082c-48fb-8c06-aa4b38d61e5f}
C:\Program Files (x86)\mozilla firefox\extensions\{f7a88228-1cc3-cf2f-9add-f4b2a5a614b5}
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Uwaga: w pliku resetuję preferencje Firefox poprzez usunięcie pliku prefs.js = to wyczyści ustawienia przeglądarki.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks sprawdź czy są zadania związane z wyliczanymi śmieciami np. Optimizer Pro. Znalezione usuń.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kyko1916]

prosze

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystko zrobione. Poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2013-02-01 20:18:26 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{02FAA5B1-9A5F-4E3F-A13B-0D66BBA52235}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A154EDE3-4831-4EBF-8ACB-062C2110A906}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A154EDE3-4831-4EBF-8ACB-062C2110A906}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Dzienniku zdarzeń powtarza się błąd WMI numer 10. Napraw automatycznym narzędziem Fix-it: KLIK.

 

4. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\ANNA\Downloads\ComboFix.exe /uninstall

 

Następnie wyczyść pozostałe. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie oraz przez SHIFT+DEL skasuj z dysku te foldery:

 

C:\FRST

C:\Windows\erdnt

 

5. Odinstaluj wszystkie stare wersje Adobe / Java, zaktualizuj Firefox i Skype: KLIK. Wg raportu obecnie w systemie są zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java™ 6 Update 27 (64-bit)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl)
"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010

 

Uwaga poboczna: widać zainstalowane Gadu-Gadu 10. Program jest straszny i dużo zasobów wykorzystuje. Zainteresuj się alternatywami: WTW, Kadu, Miranda, AQQ. Opisy komunikatorów: KLIK.

 

 

 

.

[kyko1916]

może to głupio zabrzmi albo śmiesznie ale sytuacja się powtórzyła (z braku czasu nie wykonałem tych ostatnich operacji poleconych przez CB)

wykonałem już skan FRST

FRST.txt

[picasso]

Z raportu wynika, że zupełnie inny wariant infekcji tu siedzi teraz. Tylko ... nie widzę żadnego wpisu startowego, a jedynie pliki na dysku.

 

1. Otwórz Notatnik i wklej w nim:

 

2013-02-05 12:23 - 2013-02-05 12:23 - 00003270 ____A C:\Users\All Users\jA4tcyl.js
2013-02-05 12:23 - 2013-02-05 12:23 - 00000153 ____A C:\Users\All Users\jA4tcyl.reg
2013-02-05 12:23 - 2013-02-05 12:23 - 00000082 ____A C:\Users\All Users\jA4tcyl.bat
2013-02-05 12:33 - 2013-02-05 12:23 - 95023320 ___AT C:\Users\All Users\jA4tcyl.pad
2013-02-02 13:05 - 2012-10-28 21:46 - 00000000 ____D C:\Users\ANNA\AppData\Local\DirectDownloader
2013-02-01 20:18 - 2013-02-01 20:18 - 00000000 ____D C:\Program Files\Enigma Software Group
3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Plik umieść w tym samym miejscu z którego uruchamiałeś FRST.

 

2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i tym razem zastosuj opcję Fix. Wynikowo powstanie plik fixlog.txt.

 

3. Zweryfikuj czy blokada nadal ma miejsce. Przedstaw plik fixlog.txt.

 

 

 

.

[kyko1916]

komputer został odblokowany ale zaraz po uruchomieniu przglądarki zablokował się ponownie

dodaj FRST zrobiony przed chwilą oraz fixlog utworzony po naprawie

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03

Ran by SYSTEM at 2013-02-05 15:10:15 Run:2

Running from K:\

 

==============================================

 

C:\Users\All Users\jA4tcyl.js moved successfully.

C:\Users\All Users\jA4tcyl.reg moved successfully.

C:\Users\All Users\jA4tcyl.bat moved successfully.

C:\Users\All Users\jA4tcyl.pad moved successfully.

C:\Users\ANNA\AppData\Local\DirectDownloader moved successfully.

C:\Program Files\Enigma Software Group moved successfully.

esgiguard service deleted successfully.

 

==== End of Fixlog ====

FRST.txt

[picasso]

Na którym koncie występuje problem? Hmmm, a ja w logu nie widzę skąd to się ładuje. Jest zaledwie jeden poboczny plik aktualnie widzialny.

 

1. Skrypt do FRST:

 

2013-02-05 15:12 - 2013-02-05 15:11 - 95023320 ___AT C:\Users\All Users\jA4tcyl.pad

 

2. Przedstaw fixlog.txt.

 

 

 

.

[kyko1916]

problem oczywiście występuje ciągle na tym samym koncie czyli Gość

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03

Ran by SYSTEM at 2013-02-05 15:32:18 Run:3

Running from K:\

 

==============================================

 

C:\Users\All Users\jA4tcyl.pad moved successfully.

 

==== End of Fixlog ====

[picasso]

Jak mówię, w logu z FRST nie widać punktu ładowania, więc być może jest to poza widocznością skanu. Dodaj mi inne dane. W FRST zapodaj skrypt:

 

Folder: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Przedstaw wynikowy log.

 

 

 

.

[kyko1916]

nie bardzo wiem jak mam zrobic to o co teraz prosisz

[picasso]

Wklejasz do FRST i opcja Fix. Ale to tylko skan, podajesz wynikowy log.

[kyko1916]

mam nadzieję ze to o to chodziło

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03

Ran by SYSTEM at 2013-02-05 16:15:07 Run:4

Running from K:\

 

==============================================

 

 

========================= Folder: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ========================

 

- - 0000000 _____ () C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

- - 0000000 _____ () C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

====== End of Folder: ======

 

==== End of Fixlog ====

[picasso]

Tak, o to chodziło. W Autostarcie Gościa widać skrót uruchomieniowy infekcji. Nie widać tego w głównym skanie FRST, widocznie FRST tego nie uwzględnia.

 

1. Skrypt do FRST:

 

C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

Uruchamiasz opcją Fix.

 

2. Prezentujesz fixlog.txt i potwierdzasz odblokowanie systemu.

 

 

.

[kyko1916]

odblokowany

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03

Ran by SYSTEM at 2013-02-05 16:40:47 Run:5

Running from K:\

 

==============================================

 

C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.

 

==== End of Fixlog ====