Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

"Policyjny" wirus - Na komputerze i telefonie

karioman3

Przez karioman3
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

karioman3

karioman3

Opublikowano
Opublikowano

Witam. Dopadł mnie dzisiaj sławny wirus. I na telefonie i na komputerach. Przede wszystkim wina poszła na routera. Miałem znienione DNS. Zmieniłem na poprawne, zmieniłem hasło i wyłączyłem zdalną kontrolę. Wyczyściłem również pamięć podręczną w przeglądarkach na telefonie  i telefony działają już w porządku. Komputer nadal jest zarażaony. Zeskanowałem go "Malwarebytes Anti-Malware", który usunął (i dodał do kwarantanny) 1981(!!) zagrożeń..

Komputer mam 32 bitowy.

Logi z FRST:

FRST.txt - http://wklej.org/id/1490228/
Addition.txt - http://wklej.org/hash/3b2c8f11acd/

 

Logi z OTL:

Program zawiesza mi się na "Scanning Chrome Settings"

Logi z GMER -  skanowanie trwało ponad 10h i program się zaciął..próbuję kolejny raz

 

Edit: Dodaje LOGI z GMER (quickscan): http://wklej.org/hash/d971abb276b/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W raportach brak oznak czynnej infekcji "policyjnej", widać za to adware. Skoro nadal pokazuje się komunikat infekcji, produkuje go któreś cache (bufor DNS lub przeglądarki). Wstępne działania:

 

1. Przez Panel sterowania odinstaluj:

- Adware: MyStart Toolbar, webporpoise

- Stare oraz zbędne aplikacje: Adobe Flash Player ActiveX, Adobe Reader 9.5.0 - Polish, Java 7 Update 55, Java™ 6 Update 26, Hotspot Shield 3.42, Surfing Protection, Trojan Killer

 

2. Następnie otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 updater; C:\Users\komp\AppData\Roaming\Updater\updater.dll [1564672 2014-03-28] () [File not signed]
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S3 clwvd6; system32\DRIVERS\clwvd6.sys [X]
SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
BootExecute: autocheck autochk * aswBoot.exe /M:210a2d453 /dir:"C:\Program Files\AVAST Software\Avast"
SearchScopes: HKLM - DefaultScope {56256A51-B582-467e-B8D4-7786EDA79AE0} URL =
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> No File
FF Plugin: @ieinspector.com/ha_plugin -> C:\Program Files\IEInspector\HTTPAnalyzerFullV7\firefox\Components No File
FF Extension: Hotspot Shield Extension - C:\Program Files\Mozilla Firefox\browser\extensions\afproxy@anchorfree.com [2014-09-25]
CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx []
CHR HKLM\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\komp\AppData\Local\Temp\ccex.crx [2014-07-14]
CHR HKLM\...\Chrome\Extension: [nfengeggddojhakldhlpjdlddgkkjkdd] - C:\Program Files\IObit\Surfing Protection\BrowerProtect\ASC_GhromePlugin.crx [2014-02-01]
Task: {173B2257-8AF1-4B3C-8CFC-35D63B29B4E4} - System32\Tasks\{F9518F73-EEF2-43B6-8C39-F32CD4670967} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain
Task: {2EFF48DB-CD65-45AC-B927-2BB6DDB5DFFB} - System32\Tasks\{700D4B87-8EA6-4849-88E3-5247C9B2358C} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain
Task: {2F8C5C52-1D4C-41F0-A5FD-F04E5ED75297} - System32\Tasks\{59BCC8AF-8008-408A-AA97-39CDC14B698F} => C:\Program Files\Nero\Nero Core\nero.exe
Task: {6473F200-B3BD-416D-AD0D-C1651B5BC9EE} - System32\Tasks\{B00337AA-CB16-4469-AA0E-AD9B2BC49AA6} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain
Task: {C99DFF67-D6A2-4503-B0EC-AFF21DFF88B6} - System32\Tasks\Xfire => C:\Program
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^komp^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^debug.log
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kookos
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Web Search Bar Search Scope Monitor
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyWebSearch Email Plugin
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ODG Start
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tuto4pc_pl_7
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials
C:\ProgramData\AVAST Software
C:\ProgramData\TEMP
C:\Users\komp\AppData\Roaming\Updater
C:\Windows\pss\debug.log.Startup
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\system32\Drivers\aswsp.sys.1413485556017
RemoveDirectory: C:\Users\Damian\Desktop\Stare dane programu Firefox
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Są tu aż trzy konta w systemie:

 

========================= Accounts: ==========================
 

Damian (S-1-5-21-1926016878-2585218478-4226983868-1004 - Administrator - Enabled) => C:\Users\Damian)

komp (S-1-5-21-1926016878-2585218478-4226983868-1000 - Administrator - Enabled) => C:\Users\komp

Mcx1-KOMP-KOMPUTER (S-1-5-21-1926016878-2585218478-4226983868-1005 - Limited - Enabled) => C:\Users\Mcx1-KOMP-KOMPUTER

 

Dostarczone logi są z konta Damian. Proszę po kolei zaloguj się na każde z kont poprzez pełny reset komputera i logowanie na dane konto, a nie opcję Przełącz użytkownika czy Wyloguj, i zrób na każdym koncie osobne logi z FRST (pole Addition ma być zaznaczone, by na każdym koncie powstały po dwa logi). Na koncie limitowanym Mcx1-KOMP-KOMPUTER nie uruchamiaj FRST opcją "Uruchom jako Administrator" tylko przez dwuklik, by kontekst konta się nie zmienił.

 

Dostarcz także plik fixlog.txt oraz log z MBAM:

 

Zeskanowałem go "Malwarebytes Anti-Malware", który usunął (i dodał do kwarantanny) 1981(!!) zagrożeń..

Podaj też czy są po wykonaniu skryptu FRST ustąpiły objawy infekcji. Uruchom ten test i podaj wyniki: KLIK.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...