Zablokowane konto bankowe z powodu trojana

[kitek]

Cześć wszystkim.

Informację tej treści otrzymał mój znajomy sms-em z banku. Po tym zdarzeniu przeskanował kompa zainstalowaną w systemie Avirą, oto wynik:

 

The file 'C:\ATI\Catalyst.exe'
contained a virus or unwanted program 'TR/Crypt.Xpack.46811' [trojan]
Action(s) taken:
The file was deleted.

 

Patrząc w zdarzenia Aviry widzę, że ten komunikat pojawił się już dwukrotnie tydzień wcześniej, w tym samym pliku.

Chcielibyśmy mieć pewność, że nic w systemie nie siedzi, więc proszę o sprawdzenie logów. Niestety Gmer, tradycyjnie, wywala BSOD. Kaspersky TDS nic nie znajduje.

 

Jest jeszcze jedno, być może drobiazg. Nie sposób zapisać ustawień w Firefoksie, np. strony startowej czy miejsca, gdzie mają być pobierane pliki. Nie pomaga zresetowanie przeglądarki.

 

Z góry wielkie dzięki.

 

 

---

 

 

Zrobiłem sam jeszcze skan Avirą, załączam wyniki

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Shortcut.txt

avira.txt

[picasso]

Tak, system jest zainfekowany. W starcie jest wpis "papi.exe" i procesy uruchamiane z Temp. Ten folder C:\ATI wykryty przez Avira wbrew nazwie (i zbieżności z zainstalowanym w systemie sterownikiem ATI) wygląda również na infekcję. Dodatkowo: na liście zainstalowanych stoi pozycja rogue "Antivirus Security Pro", prawdopodobnie jest to jakiś źle doczyszczony odpadek, bo na dysku brak innych śladów. Swoją drogą, to w systemie jest również adware Ask zainstalowane przez Avira pod przykrywką paska "Avira SearchFree Toolbar". Tego komponentu nie będę jednak ruszać.

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Documents and Settings\Tadek\Ustawienia lokalne\Temp\tmp2793b4d1.exe
HKU\S-1-5-21-796845957-2111687655-839522115-1003\...\Run: [papi.exe] - C:\Documents and Settings\Tadek\Dane aplikacji\Wuko\papi.exe [408576 2011-11-24] ()
C:\Documents and Settings\Tadek\Dane aplikacji\Ruriu
C:\Documents and Settings\Tadek\Dane aplikacji\Wuko
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
Folder: C:\ATI
C:\ATI
SearchScopes: HKLM - DefaultScope value is missing.
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll No File
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Security Pro" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy log FRST (bez Addition i Shortcut). Spróbuj ponowić skan GMER w Trybie awaryjnym Windows. Dołącz plik fixlog.txt.

 

 

 

 

.

[kitek]

Gmer w awaryjnym nic nie znalazł

Fixlog.txt

FRST.txt

[picasso]

Zadania wykonane, poprawki:

 

1. Ten folder C:\ATI jednak okazał się folderem sterowników ATI. Wyciągnij go z kwarantanny C:\FRST\Quarantine i wstaw na poprzednie miejsce. W kwarantannie folder ma zmienioną nazwę, tzn. doklejoną datę, co należy usunąć z nazwy.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-796845957-2111687655-839522115-1003\...\Run: [papi.exe] - "C:\Documents and Settings\Tadek\Dane aplikacji\Wuko\papi.exe"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[kitek]

Zrobione

Fixlog.txt

Edytowane 12 Marca 2014 przez picasso
12.03.2014 - Temat zamknięty na prośbę. //picasso