Wirus policyjny - skontrolowanie systemu po usunięciu

[acappella]

Witajcie,

 

niedawno na moim komputerze zmagałam się z dość popularnym ostatnio wirusem policyjnym. W trybie awaryjnym wykonałam przywracanie systemu, a dodatkowo (zapoznałam się trochę z zasadami, więc przyznaję się bez bicia) użyłam poleconego mi przez brata koleżanki programu ComboFix, po czym przeskanowałam dysk antywirusem (Eset NOD32). Wszystko zdaje się działać bez zarzutu, jednak chciałabym mieć co do tego pewność - czy moglibyście pomóc stwierdzić, czy wszystko rzeczywiście jest w porządku? W załączniku zamieszczam obowiązkowe logi i raport ComboFixa, którym, mam nadzieję, nie narobiłam sobie zbyt wiele szkody, a dodatkowo mam wrażenie, że nie usunęłam go prawidłowo (gdzie jest opcja /uninstall?).

 

+ Czy OTL i GMER mają być również usunięte po zakończeniu użytkowania?

 

#edit: OTL i GMER - raporty z dzisiaj, ComboFix - sprzed jakichś dwóch tygodni.

OTL.Txt

Extras.Txt

GMER.txt

ComboFix.txt

[picasso]

Użycie Przywracania systemu było zasadniczym procesem, który zlikwidował czynne obiekty infekcji. Użycie ComboFix naprawdę nie było potrzebne, on nic nie robił w tym zakresie (usuwał omyłkowo pewne pliki ASUS, ale tu się nic nie stało, bo pliki nie są krytyczne, oraz wpisy puste). Był tu także używany jakiś skrypt do OTL = jaki / co w nim było?

 

Bieżący log z OTL pokazuje, że na dysku nadal są szczątki (już nieczynne) infekcji (fałszywy antywirus "System Care Antivirus" oraz luźne pliki obrazków pewnie od blokady). Należy doczyścić to. Akcja:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
C:\ProgramData\384D950D58600C810000384D5CC71399
C:\ProgramData\1.bmp
C:\ProgramData\1.jpg
 
:OTl
IE - HKU\S-1-5-21-2962781846-1299515372-4104595402-1000\..\SearchScopes\{F1C5B425-8C55-46DC-8C9D-E63C14144FA7}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found
O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found
O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2962781846-1299515372-4104595402-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2962781846-1299515372-4104595402-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj. Nie jest mi potrzebny tak obszerny już, więc zaznacz opcję Pomiń pliki Microsoftu, a pliku Extras po raz wtóry nie dołączaj.

 

 

 

.

[acappella]

Dziękuję za tak szybką odpowiedź!

 

Brat koleżanki zdawał się mieć większe pojęcie ode mnie, jeśli chodzi o tego typu sprawy, dlatego też zdecydowałam się użyć ComboFixa, ale, jak widać, nie można być nadgorliwym.

 

Co do skryptu OTL - był to przypadkowy skrypt, który znalazłam na jakimś innym forum, gdzie nie zaznaczono, że każdy z nich jest unikatowy - chyba znowu miałam więcej szczęścia niż rozumu, skoro obeszło się bez poważniejszych szkód...

OTL.Txt

[picasso]

Wszystko zostało pomyślnie przetworzone. Przechodzimy do kolejnych kroków:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio widziałam go na Pulpicie, teraz już nie. Jeśli rzeczywiście plik usunęłaś, to ponownie pobierz ComboFix (KLIK) i umieść na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Asus\Desktop\ComboFix.exe /uninstall

 

2. Następnie usuń resztę narzędzi: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

3. Dla pewności zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Przy instalacji padnie pytanie o typ wersji, wybierz darmową. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[acappella]

Zrobione. Skanowanie nic nie wykryło.
 
 

Odinstaluj w prawidłowy sposób ComboFix. Poprzednio widziałam go na Pulpicie, teraz już nie.

 
To pewnie zabrzmi głupio, ale... Nie wiedziałam, że da się to w jakiś sposób wywnioskować xD

 

#edit: Jeśli to już koniec, to bardzo dziękuję za okazaną pomoc, picasso! W razie ewentualnych problemów na pewno wrócę, zamiast błądzić po podejrzanych stronach w poszukiwaniu porady. Widać, że ludzie tu znają się na rzeczy. Pozdrawiam serdecznie i życzę miłego wieczoru!

[picasso]

Na zakończenie drobne aktualizacje. Konkretnie chodzi o te pozycje na Twojej liście zainstalowanych:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90140000-006D-0415-1000-0000000FF1CE}" = Moduł Szybka instalacja pakietu Microsoft Office 2010

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37
"Foxit Reader_is1" = Foxit Reader 5.0
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)
"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010

Odinstaluj starą Java i zastąp najnowszą (o ile potrzebna), zaktualizuj Foxit Reader, Firefox i pakiet Office 2010 (instalacja SP1): KLIK. Dodatkowa uwaga na temat Nowe Gadu-Gadu, sugeruję obejrzeć najnowsze GG11 lub alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK.
 

 

To pewnie zabrzmi głupio, ale... Nie wiedziałam, że da się to w jakiś sposób wywnioskować xD

Nagłówek raportu ComboFix ma dane skąd uruchamiano program (to jednak nie potwierdza, że plik jest nadal na dysku):

ComboFix 13-05-15.01 - Asus 2013-05-15 20:45:36.1.4 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.48.1045.18.4008.2011 [GMT 2:00]
Uruchomiony z: c:\users\Asus\Desktop\ComboFix.exe

Po prostu w pierwszym raporcie OTL widziałam ten plik na dysku:

[2013-05-15 19:35:08 | 005,066,276 | R--- | C] (Swearware) -- C:\Users\Asus\Desktop\ComboFix.exe

W drugim raporcie OTL już nie.

 

 

 

.

[acappella]

Dzięki za wyjaśnienie, dla kogoś, kto się na tym nie zna, doszukanie się czegoś w raportach graniczy z cudem

 

Zaktualizowałam Readera i pakiet Office, Firefoxa wywaliłam całkowicie, natomiast przy próbach odinstalowania Javy najpierw pojawia się komunikat 'Trwa przygotowywanie do usunięcia', potem pytanie 'Czy zezwalasz temu programowi na wprowadzenie zmian na twoim komputerze?' i niezależnie od tego, czy klikam TAK, czy NIE, skutek jest ten sam - program ani się nie odinstalowuje, ani nie aktualizuje (robiłam to przez panel sterowania, może powinnam gdzie indziej?).

[picasso]

natomiast przy próbach odinstalowania Javy najpierw pojawia się komunikat 'Trwa przygotowywanie do usunięcia', potem pytanie 'Czy zezwalasz temu programowi na wprowadzenie zmian na twoim komputerze?' i niezależnie od tego, czy klikam TAK, czy NIE, skutek jest ten sam - program ani się nie odinstalowuje, ani nie aktualizuje (robiłam to przez panel sterowania, może powinnam gdzie indziej?).

 

Tu jedyna odpowiedź to ma być "TAK". Jeżeli mimo tego program wisi i nie chce się usunąć, skorzystaj z narzędzia JavaRa (opcja Remove JRE) do usunięcia tej wersji Java. Następnie z podanego wcześniej linka pobierz najnowszą Java i zainstaluj.

 

 

.

[acappella]

Próbowałam - mimo komunikatu, że program został odinstalowany prawidłowo, nadal widnieje w panelu. Nawet po restarcie komputera.

 

Remove Java Runtime --> po zaznaczeniu wersji Run Uninstaller, po zakończeniu Next --> Perform Removal Routine --> pokazuje się okienko, że zakończone sukcesem --> Next --> następnej wersji nie potrzebuję, więc znów Next --> program nadal jest.

 

W zasadzie jakoś specjalnie mi nie przeszkadza, więc...

[picasso]

Remove Java Runtime --> po zaznaczeniu wersji Run Uninstaller, po zakończeniu Next --> Perform Removal Routine --> pokazuje się okienko, że zakończone sukcesem --> Next --> następnej wersji nie potrzebuję, więc znów Next --> program nadal jest.

 

1. Pokaż log, który utworzyło narzędzie JavaRa.

 

2. Spróbuj inne narzędzie do usunięcia danych instalacyjnych tej konkretnej wersji Java: KLIK. Wybierz tryb nieautomatyczny i na liście deinstalacji szukaj czy program oferuje usunięcie tego wpisu.

 

 

 

.

[acappella]

O, przez FixIt poszło! Program odinstalowany.

 

Jeśli chodzi o log z JavaRa - nie mogłam znaleźć odpowiedniego pliku, a później zorientowałam się, że w ustawieniach opcja 'create a log file' była odznaczona, więc już teraz ponowne wykonywanie operacji raczej nie ma sensu, prawda? 

[picasso]

Tak, opcja zapisu raportu nieczynna, więc tego już się nie dowiemy. Czy po usunięciu tego martwego wpisu starej Java narzędziem Fix-it zainstalowałaś bez problemu najnowszą wersję Java (o ile Java potrzebna)? Czy masz jeszcze jakieś pytania? Jeśli nie, to temat możemy zamykać.

 

 

 

.

[acappella]

Na razie nie zainstalowałam nowej wersji, zrobię to, jeśli będzie taka potrzeba.

Nie mam pytań, zdaje mi się, że to już wszystko.

 

Jeszcze raz wielkie dzięki za pomoc! ^^