Wirus Polizia - zablokowany komputer

[nivanth]

Witam.Mój komputer został zainfekowany wirusem "Polizia Biuro Służby Kryminalnej". Pc jest całkowicie zablokowany, nie można uruchomić menadżera urządzeń ani trybu awaryjnego. Dołączam logi z programu FRST64. Pozdrawiam.

FRST.txt

[picasso]

Tak, infekcja zmodyfikowała usługę Winmgmt (Instrumentacja zarządzania Windows), dlatego nie jest możliwy start systemu w żadnym z trybów. Prócz tego jest dużo adware, ale dokładniejsze czyszczenie tych śmieci odbędzie się już spod Windows. Przechodzimy do usuwania:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 Winmgmt; C:\Users\Kuba\AppData\Local\Temp\Low\mqmqiflf8z.faa [332020 2014-04-01] (Microsoft Corporation)
S2 iSafeService; C:\Program Files (x86)\iSafe\iSafeSvc.exe [118056 2014-04-23] (Elex do Brasil Participações Ltda)
S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [70848 2014-04-17] ()
S3 iSafeKrnl; C:\Program Files (x86)\iSafe\iSafeKrnl.sys [232960 2014-04-23] (Elex do Brasil Participações Ltda)
S1 iSafeKrnlKit; C:\Program Files (x86)\iSafe\iSafeKrnlKit.sys [66048 2014-04-23] (Elex do Brasil Participações Ltda)
S1 iSafeNetFilter; C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [48128 2014-04-23] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; \??\system32\DRIVERS\iSafeKrnlBoot.sys [X]
HKLM-x32\...\Run: [tuto4pc_pl_17] => [X]
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761536 2014-01-06] ()
HKLM-x32\...\Run: [GPULoader] => C:\Program Files (x86)\VLC Player GPU+\GPULog.exe [1303776 2013-12-13] ()
HKLM-x32\...\Run: [GPUTemp] => C:\Users\Kuba\AppData\Local\Temp\GPUTemp.exe [1312136 2014-01-09] ()
HKU\Kuba\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hfrev9h.lnk
GroupPolicy: Group Policy on Chrome detected 
C:\ProgramData\2992199F9A
C:\Users\Kuba\daemonprocess.txt
C:\Users\Kuba\AppData\Local\Temp

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. System zostanie odblokowany. Zaloguj się normalnie do Windows. Zrób nowe logi z FRST (mają powstać 3: FRST.txt, Addition.txt i Shortcut.txt).

 

 

 

 

.

[nivanth]

Dołączam pliki które powstały.

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Przechodzimy do czyszczenia adware i wpisów pustych:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {1E5463CA-ACC7-4E4F-B8CC-EAD15804D669} - System32\Tasks\{939270E1-3198-42D0-9E9C-2A35EF3CECB0} => C:\Users\Kuba\Desktop\StarCraft II Wings of Liberty-RELOADED Crack\StarCraft II Wings of Liberty-RELOADED Crack\StarCraft II.exe
Task: {3CFEAFD2-F6D8-43D8-8D36-0086F421F6BB} - System32\Tasks\Digital Sites => C:\Users\Kuba\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {E2164964-8F02-4C16-B069-675369FE0D77} - System32\Tasks\DigitalSite => C:\Users\Kuba\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {FBA33CA3-DCD5-462C-B861-2068371782EC} - System32\Tasks\AmiUpdXp => C:\Users\Kuba\AppData\Local\SwvUpdater\Updater.exe [2013-12-16] (Amonetizé Ltd) 
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Kuba\AppData\Local\SwvUpdater\Updater.exe 
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Kuba\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\Kuba\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE 
FF HKLM-x32\...\Firefox\Extensions: [ext@flash-Enhancer.com] - C:\Program Files (x86)\AmiExt\flashEnhancer\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha7988.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha7988\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta264.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta264\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha636.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha636\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha986.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha986\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha2370.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2370\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha1447.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha1447\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home2265.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2265\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode5806.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ff
CHR HKLM-x32\...\Chrome\Extension: [bgclfemcpgkemipfhhijfpabjagbjopd] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ch\MediaBuzzV1mode5806.crx [2014-04-24]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036
StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C0E5002481488D21&affID=125839&tsp=5036
BHO-x32: Media Buzz -> {52631182-6574-4d7f-ace5-ed6b829a8571} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5806\ie\MediaBuzzV1mode5806.dll ()
BHO-x32: Shopping Suggestion. -> {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation)
BHO-x32: Shopping Suggestion -> {F6C07882-D703-4DD5-905A-2C4E815A5066} -> C:\Users\Kuba\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll (WW3, LLC)
ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 1 (GFS Unread Stub) -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File
ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 2 (GFS Stub) -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File
ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File
ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 3 (GFS Folder) -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File
ShellIconOverlayIdentifiers-x32: Groove Explorer Icon Overlay 4 (GFS Unread Mark) -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File
ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL No File [ ]
C:\Users\Kuba\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4
C:\Windows\pss\Empty.pif.Startup
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kuba^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware:

 

Codec Pack Packages, flash-Enhancer, GPU Monitor, Media Buzz, Media Player, Media View (dwie pozycje), Media Viewer, Media Watch, Mobogenie, Software Version Updater, Video Player, Webexp Enhanced, YAC

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Media Buzz
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[nivanth]

logi

AdwCleanerS0.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. AdwCleaner się pomylił i usunął foldery poprawnego programu Lightspark:

 

Folder Usunięto : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightspark 0.5.3-git

Folder Usunięto : C:\Program Files (x86)\Lightspark 0.5.3-git

 

Wejdź do kwarantanny AdwCleaner (C:\AdwCleaner) i przywróć oba foldery na miejsce. Jeśli program nadal nie będzie działał, nadinstaluj go.

 

2. Usuń używane narzędzia z E:\ i popraw za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj poniżej wyliczone programy: KLIK.

 

Internet Explorer Version 9
 
 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.6.602.180 - Adobe Systems Incorporated) ----> wtyczka dla IE

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.)

Java 7 Update 25 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.250 - Oracle)

Microsoft Office 2010 Service Pack 1 (SP1) (HKLM\...\{90140000-0011-0000-1000-0000000FF1CE}_Office14.PROPLUS_{7BC9B5EB-125A-4E9B-97E1-8D85B5E960B8}) (Version: - Microsoft) ----> instalacja SP2

 

Ten stary Adobe i Java do deinstalacji, i to ta stara dziurawa Java była przypuszczalnie przyczyną infekcji blokującej system.

 

 

 

.

[nivanth]

Ok. Komputer działa poprawnie. Dzięki za szybką i efektywną pomoc. Pozdrawiam.