Polizja. Biuro Służby Kryminalnej

[Kristoffx]

Witam,

po uruchomieniu komputera otwiera się okno na cały pulpit z charakterystycznym wirusem zatytułowany: "Polizja. Biuro Służby Kryminalnej."

Plansza ta przykrywa cały pulpit, zawsze jest na wierzchu, przez co wszelkie aplikacje i ikony są pod nią ukryte.

Żadnych innych działań naprawczych nie wykonano.

Proszę o pomoc w usunięciu. Udało się wykonać logi z trybu awaryjnego z wierszem poleceń.

 

OTL.Txt

Addition.txt

Extras.Txt

FRST.txt

[picasso]

Logi są pobrane ze złego konta, dlatego nie widać w nich infekcji:

 

Ran by Administrator (administrator) on DYSPOZYTOR on 07-09-2013 08:08:56

 

Logi muszą być zrobione z poziomu konta, które jest zablokowane. Czyli z "ja". Start do Trybu awaryjnego z Wierszem polecenia, zaloguj się na "ja" i zrób nowe raporty OTL/FRST.

 

 

 

.

[Kristoffx]

OK, załączam logi poprawione z drugiego konta.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\jwedwig.lnk
ShortcutTarget: jwedwig.lnk -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\giwdewj.plz ()
C:\DOCUME~1\ja\USTAWI~1\Temp\sqsjvkhjxtllcapivxd.bfg
C:\DOCUME~1\ja\USTAWI~1\Temp\ICReinstall_VuuPC_Setup.exe
C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.ctrl
C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.pff
C:\Documents and Settings\ja\Dane aplikacji\Bandoo
C:\Documents and Settings\ja\Dane aplikacji\OpenCandy
C:\Documents and Settings\ja\Dane aplikacji\searchquband
C:\Documents and Settings\ja\Dane aplikacji\Mozilla
C:\Program Files\uik.dat
C:\Program Files\is.dat
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
HKLM\...\Run: [sweetpacks Communicator] - C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 massfilter; system32\drivers\massfilter.sys [x]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

System powinien zostać odblokowany, loguj się normalnie do systemu i:

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Kristoffx]

Z powodu iż pilnie potrzebowałem sprawnego komputera na wczoraj, poprosiłem o pomoc na innym forum i otrzymałem skrypt naprawczy z OTL w postaci:

 

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://javadl-esd.sun.com/update/1.5.0/ ... s-i586.cab (Reg Error: Value error.)
[2013-09-07 06:26:02 | 000,000,456 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{29156F9D-B87E-4EBF-AB78-407220307C27}.job
[2012-03-21 15:11:36 | 000,016,384 | ---- | C] () -- C:\Program Files\uik.dat
[2011-05-03 15:58:30 | 000,000,004 | ---- | C] () -- C:\Program Files\is.dat
[2012-06-17 04:13:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
[2013-04-01 14:40:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ja\Dane aplikacji\OpenCandy
[2012-06-17 01:34:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ja\Dane aplikacji\searchquband
[2013-09-06 18:37:10 | 000,000,798 | ---- | C] () -- C:\Documents and Settings\ja\Menu Start\Programy\Autostart\jwedwig.lnk
[2013-09-06 18:37:09 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.ctrl
[2013-09-06 18:36:44 | 095,025,368 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.pff
[2013-09-06 18:36:43 | 000,166,912 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\giwdewj.plz
:Commands
[emptytemp]

 

System został naprawiony i otrzymałem taki raport z usuwania:

http://wklej.org/id/1125840/

 

Czy w takim wypadku zastosować jeszcze otrzymany tu skrypt z FRST, czy nie ma już takiej potrzeby?

 

Dziś zrobię jeszcze skan AdwCleanerem.

[picasso]

Nanosząc poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\ja\Dane aplikacji\Bandoo
C:\Documents and Settings\ja\Dane aplikacji\Mozilla
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Kristoffx]

Skany wykonane.

Załączam raporty, proszę o opinię czy jeszcze coś należałoby wykonać i jak zabezpieczyć ten komputer przed takimi niespodziankami.

 

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare wersje Adobe Reader i Java, zastąp najnowszymi: KLIK. Wg raportu posiadasz wersje:

 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

J2SE Runtime Environment 5.0 Update 17 (Version: 1.5.0.170)

Java 7 Update 17 (Version: 7.0.170)

 

To m.in. luki w Java są przyczyną infekcji "policyjnych".

 

 

 

.

[Kristoffx]

OK, jeszcze raz załączam raport z FRST oraz dodatkowo z OTL.

Dziękuję za pomoc.

Fixlog.txt

[picasso]

Skrypt wykonany. I jeśli nie proszę Cię o dodatkowe raporty, to znaczy że nie są potrzebne, ten skan OTL usuwam, te dane już tu są i nic nowego z tego nie wynika.

 

 

 

.