Wirus Policja i brak trybu awaryjnego z wierszem poleceń

[robertino1234]

Witam, 

 

Niestety padłem łupem wirusa policja. ok 20h z nim walczyłem i chyba wygrałem, ale wolałbym się upewnić, dlatego też piszę na forum. 

 

NIestety większość metod z forum nie działała, ponieważ wirus blokował uruchomienie systemu (Windows VISTA) w trybie wierszu poleceń- po prostu niby system się ładował i gdy miało nastąpipć uruchomienie systemu, komputer restartował się. Zatem nie dało się uruchomić wiersza poleceń. Dlatego tez zdecydowałem się na Kasperku Rescue Disk i przeskanowałem kompa - oczywiście znalazł to czego szukałem - wszystko usunąłem. 

 

Po uruchomieniu Systemu, nie wyskakiwała już 'plansza' z wirusem, dlatego też potraktowałem system:

1. AdwCleaner

2. Combofix

 

a na koniec zrobiłem skan FRST. 

 

Poniżej wszystkie logi. 

 

 

Prośba o sprawdzenie czy aby na pewno skutecznie pozbyłem się problemu. 

 

Z góry dziękuję.

 

Pozdrawiam, 

Robert

Addition.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

ComboFix.txt

FRST.txt

[picasso]

Nie wszystkie pliki infekcji zostały usunięte. Dodatkowo jeszcze będzie czyszczenie Firefox ze starych odpadków rozszerzeń / wyszukiwarek.

 

1. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\jwr1wmqj6.ctrl
C:\ProgramData\jw20wldlc.ctrl
C:\ProgramData\jw20wldlc.pff
C:\ProgramData\jwr1wmqj6.pff
HKLM\...\Policies\Explorer: [NoDrives] 0
HKCU\...\Policies\Explorer: [NoDrives] 0
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {A9DA9739-DA17-4DB1-84FD-133CD017666E} URL = http://search.babylon.com/?q={searchTerms}&AF=100490&babsrc=SP_ss&mntrId=4cc754eb000000000000001e3382cd86
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Robert\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
CHR HKLM\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files\StartSearch plugin\startsplg.crx
FF SearchPlugin: C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\z3qa0gj6.default\searchplugins\winamp-search.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\arccosine.xml
FF Extension: No Name - C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\z3qa0gj6.default\Extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}-trash
FF Extension: Anti-Banner - C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak
FF Extension: Kaspersky URL Advisor - C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak
FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
R3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S2 mdmxsdk; system32\DRIVERS\mdmxsdk.sys [x]
U3 mbr; \??\C:\Users\Robert\AppData\Local\Temp\mbr.sys [x]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. ComboFix notuje podejrzanie dużo odczytów na temat niesygnowanych plików. To może m.in. wynikać z niepoprawnej pracy Usług kryptograficznych. Zresetuj Windows Update tym narzędziem: KLIK. Procedura obejmuje też operacje z kryptograficznymi.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

NIestety większość metod z forum nie działała, ponieważ wirus blokował uruchomienie systemu (Windows VISTA) w trybie wierszu poleceń- po prostu niby system się ładował i gdy miało nastąpipć uruchomienie systemu, komputer restartował się. Zatem nie dało się uruchomić wiersza poleceń. Dlatego tez zdecydowałem się na Kasperku Rescue Disk i przeskanowałem kompa - oczywiście znalazł to czego szukałem - wszystko usunąłem.

Na przyszłość, metoda ze środowiskiem zewnętrznym (KLIK).

 

 

Po uruchomieniu Systemu, nie wyskakiwała już 'plansza' z wirusem, dlatego też potraktowałem system:

1. AdwCleaner

2. Combofix

Na temat używania ComboFix: KLIK. I ComboFix tu nie ruszał infekcji ransomware, wyrzucał: SpyAgent (KLIK), WinpCap (fałszywy alarm) i kilka innych nieistotnych rzeczy.

 

Dodatkowa uwaga: C:\Users\Robert\Desktop\AdwCleaner_www.INSTALKI.pl.exe. Nie pobieraj tego rodzaju programów z serwisów pośrednich, najnowsza wersja gwarantowana tylko na stronie domowej.

 

 

 

.

[robertino1234]

Ad. 1

Zrobione. Log załączony

 

Ad. 2

Zrobione.

 

Ad. 3

Zrobione. Log załączony

 

 

Dziękuję za pomoc. 

 

Pozdrawiam, 

Robert

Fixlog.txt

FRST.txt

[picasso]

Fix przetworzony pomyślnie, z wyjątkiem odpadkowego klucza Google Chrome. Możemy przejść do finalizacji:

 

1. Dokończ klucz Google Chrome ręcznie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome

 

2. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio ComboFix uruchamiany ze ścieżki D:\ComboFix.exe (pendrive). Pobierz narzędzie ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Robert\Desktop\ComboFix.exe /uninstall

 

3. Następnie w AdwCleaner uruchom Odinstaluj i przez SHIFT+DEL skasuj te foldery:

 

C:\FRST

C:\Windows\erdnt

 

4. Usuń stary Adobe Reader i wszystkie Java, zastąp najnowszymi, a także zaktualizuj systemowy IE: KLIK. To m.in. luki Java są przyczyną tej infekcji. Wg raportu są tu wersje:

 

Internet Explorer Version 8
 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

Java 7 Update 17 (Version: 7.0.170)

Java™ 6 Update 26 (Version: 6.0.260)

Java™ 6 Update 6 (Version: 1.6.0.60)

 

Na temat kiepskiej kombinacji Gadu-Gadu 10 + Gadu-Gadu 7.7: pierwsze niezdatne (wycisk zasobów), drugie przestarzałe i słabo zabezpieczone. Albo instalacja najnowszej wersji GG11 (jest lepsze, mniej reklam), albo alternatywny program np. WTW. Wszystko opisane tu: KLIK.

 

 

 

.

[robertino1234]

Ad. 1

Zrobione

 

Ad. 2

Zrobione

 

Ad. 3 

Zrobione

 

 

Ad. 4

Java i Adobe zrobione. IE i Windows Update niestety nie, bo od dluższego czasu mam problem z update windowsa. A IE nie uzywam, więc chyba nie ma sensu tego aktualizować - znając życie nowsza wersa = więcej miejsca zajmuje. 

 

Odnosnie GG - nie używam żadnego, ale zostawiłem obie wersje dla archiwum - to z 7,7 nie jest kompatybilne z <10, a 10 nie ma sensu aktualizować do 11 bo i tak nie uzywam. 

 

W każdym razie, dziekuję za pomoc w rozwiązaniu problemu. 

 

 

Pozdrawiam, 

Robert

[picasso]

IE i Windows Update niestety nie, bo od dluższego czasu mam problem z update windowsa. A IE nie uzywam, więc chyba nie ma sensu tego aktualizować - znając życie nowsza wersa = więcej miejsca zajmuje.

Jaki konkretnie problem? Opisz dokładnie objawy / błędy. A aktualizacja IE jest istotna, mimo nieużywania przeglądarki. Silnik IE i tak jest używany przez system i aplikacje zewnętrzne. A tu jeden z licznych przykładów zależności: KLIK.

 

 

Odnosnie GG - nie używam żadnego, ale zostawiłem obie wersje dla archiwum - to z 7,7 nie jest kompatybilne z

Tylko zaznaczę, że WTW potrafi zaimportować oba typy archiwum (format GG7 i format GG10). Mógłbyś scalić wszystkie rzeczy w jedność i duplikat Gadu odinstalować.

 

 

 

.