Skocz do zawartości

Sprzątanie po 'wirusie policja' (Ukash)


Rekomendowane odpowiedzi

Witam serdecznie.

 

Jestem nowy użytkownikiem forum.

 

Kilka dni temu laptop mojego brata po raz drugi na przestrzeni 3 miesięcy został zablokowany przez infekcję zwaną potocznie 'wirusem policja'. Za pierwszym razem, po wygooglowanu problemu, poradziłem sobie z tym przy pomocy trybu awaryjnego z obsługą sieci - uruchomiłem system w tym trybie i przeskanowałem go skanerem ESET Online, który wyeliminował zagrożenie. Tym razem podobny manewr nie przyniósł skutku, gdyż chwilę po zalogowaniu się w trybie awaryjnym z obsługą sieci system samoczynnie się restartował, uniemożliwiając mi jakiekolwiek działanie. W sieci znalazłem alternatywne rozwiązanie - w trybie awaryjnym założyłem nowe konto użytkownika z uprawnieniami administratora i z poziomu tego konta przeskanowałem system ESET Online Scanner'em, który również i tym razem usunął 'policyjne dziadostwo'. System co prawda działa, jednakże chciałbym być absolutnie pewien, że na dysku nie ma już tego intruza, dlatego byłbym bardzo wdzięczny, gdyby ktoś kompetentny w temacie przyjrzał się logom wygenerowanym przez OTL i GMER-a celem sprawdzenia, czy w systemie nie ma już śladu po 'wirusie policja'. Co do okoliczności pojawienia się wirusa, to brat mówił mi, że w każdym z przypadków komputer został zainfekowany podczas korzystania z nieszczęsnego Facebooka, z tym tylko, że nie pamiętał, jakie strony były w tym czasie wyświetlone w tle. Powiedział mi jedynie, że podczas drugiego ataku ściągał coś z serwera do którego link znalazł na stronie bunalti*com (nie wiem, czy może mieć to znaczenie, ale wolę jak najlepiej przybliżyć okoliczności infekcji). Przy drugim ataku nieaktywna była również ochrona antywirusowa, gdyż dobiegł końca okres testowy dla programu Kasperski Antywirus 2013. Po przeskanowaniu systemu OTL-em i GMER-em przy zamykaniu Windows wygenerował również BLUE SCREEN ERROR (driver_power_state_failure), jednakże później uruchamiał się bez problemu.

 

W załącznikach umieszczam również raport ze skanowania ESET-em - a nuż okaże się pomocny  :) 

Byłbym bardzo wdzięczny za wszelką pomoc w rozwiązaniu ew. problemu  ;)

 

 

Extras.Txt

gmer.txt

OTL.Txt

log_ESET Online.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Odpadki po Ukashu to nic, w systemie jest infekcja ZeroAccess niszcząca ważne usługi Windows.
 
1. Uruchom Wiersz polecenia jako Administrator i wklej: sfc /scanfile=C:\Windows\system32\services.exe . Zrób wtedy restart systemu.
 
2. Uruchom Wiersz polecenia jako Administrator i wklej: netsh winsock reset . Zrób wtedy restart systemu.
 
3. Przez Dodaj/Usuń programy odinstaluj: Google Toolbar for Internet Explorer, Browse2save.
 
4. Uruchom OTL i w pole Własne opcje skanowania/skrypt wklej:
 

:Files

C:\Windows\Installer\{85a07e0e-217b-3f33-150a-2d1647df56f3}

C:\ProgramData\7331404.reg

C:\ProgramData\7331404.bat

C:\ProgramData\7331404.pad
C:\Users\Ado\AppData\Roaming\skype.ini
C:\Users\Ado\AppData\Roaming\Babylon
C:\Users\Ado\AppData\Roaming\OpenCandy

C:\Users\Ado\AppData\Roaming\SendSpace

C:\Users\Ado\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions]
"wrc@avast.com"=-

 

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HM500JI_S208JD0S853125&ts=1359592280

IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.good-results.info/?l=1&q=%7BsearchTerms%7D&pid=34&r=2013/02/13&hid=2001862735&lg=EN&cc=PL
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{09CBBDF1-C336-495B-87A0-7094594DFABD}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p=%7BsearchTerms%7D
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q=%7BsearchTerms%7D&affID=119776&babsrc=SP_ss&mntrId=ee6382a90000000000000022fbce7d74
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q=%7BsearchTerms%7D
IE - HKU\S-1-5-21-1130889126-2774647967-4100017494-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.good-results.info/?l=1&q=%7BsearchTerms%7D&pid=34&r=2013/02/13&hid=2001862735&lg=EN&cc=PL
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.)

:Commands
[emptytemp]


 
Wciśnij Wykonaj skrypt. Nastąpi restart systemu, po uruchomieniu podaj log z usuwania OTL.
 
5. Podaj raport z Farbar Service Scanner.
 
6. Pobierz i użyj AdwCleaner z opcji Usuń.
 
7. Zrób nowe logi z OTL( bez Extras) oraz z SystemLook x64 na warunek:
 
:filefind
services.exe

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 
Wciśnij Look. Dodaj tutaj raport z niego.
 
 
.
Odnośnik do komentarza

diox

 

Skrypt poprawiony:

- wpis O20 przetworzony na :Reg (to pełne usuwanie wpisu Shell którego nie ma być w HKCU).

- dodane: pliki cyfrowe w ProgramData od infekcji, kilka obiektów adware oraz usuwanie wpisów Firefox (nie istnieje jako zainstalowany).

- usunięte: skype.dat przecież nie istnieje na dysku (o czym informuje wpis), wpisy które załatwi deinstalacja z punktu 3 lub są pozornymi "not found". Ze skanu SystemLook usunięty dir Kosza, to nie ten wariant ZeroAccess.

 

 

 

.

Odnośnik do komentarza

Witam ponownie,

 

Bardzo dziękuję za okazane zainteresowanie i pomoc :).  Wykonałem wszystko zgodnie z opisem:

 

Ad. 1)  Brak naruszeń integralności.

 

Ad. 2) Winsock Catalog zresetowany pomyślnie.

 

Ad. 3) Odinstalowane.

 

Ad. 4) Skrypt wykonany, log o nazwie OTL_skrypt.txt

 

Ad. 5) Log w załącznikach.

 

Ad. 6) Zrobione (na wszelki wypadek zamieszczam log)

 

Ad. 7) Logi w załącznikach.

 

OTL_skrypt.txt

FSS.txt

AdwCleanerS1.txt

OTL.Txt

SystemLook.txt

Odnośnik do komentarza

Teraz skan OK, możemy przejść dalej do naprawy szkód poczynionych przez ZeroAccess:
 
1. Odbudowa usuniętych usług. Skorzystaj z ServicesRepair.
 
2. Odbudowa ikony Centrum Akcji plus korekty po AdwCleaner. Otwórz Notatnik i wklej w nim:
 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.
 
3. Usunięcie szczątków ESET Smart Security. Zastosuj ESET Uninstaller z poziomu Trybu awaryjnego Windows (narzędzie nie działa w Trybie normalnym).

4. Zrób nowy log Farbar Service Scanner oraz SystemLook na warunek:

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s





.

Odnośnik do komentarza

Zrobione, Malwarebytes niczego niepokojącego nie wykrył. Serdecznie dziękuję za poświęcony czas i pomoc :) . To, co tutaj robicie jest po prostu fantastyczne!!! :thumbsup: 

Mam jeszcze pytanko natury technicznej - teraz, kiedy system jest czysty, jakim programem AV najlepiej go chronić - czy którymś z bezpłatnych, czy jednak jakimś komercyjnym? (nad jakimi ewentualnie szczególnie się pochylić)? 

Byłbym bardzo wdzięczny za jakieś opinie/sugestie ;)

Odnośnik do komentarza

Na zakończenie:
 
1. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu posiadasz obecnie wersje:
 

Internet Explorer (Version = 9.0.8112.16421)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 
2. Prewencyjnie zmień hasła logowania w serwisach.
 

 

Mam jeszcze pytanko natury technicznej - teraz, kiedy system jest czysty, jakim programem AV najlepiej go chronić - czy którymś z bezpłatnych, czy jednak jakimś komercyjnym? (nad jakimi ewentualnie szczególnie się pochylić)?

 

Wychodzę z założenia, że dowolny antywirus darmowy czy komercyjny z tzw. "czołówki" (a nie nisza) to dobre rozwiązanie.


 
.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...