Polizja Biuro Służby Kryminalnej

[George]

Szanowni Państwo,

 

laptop, który został mi przekazany do sprawdzenia został zainfekowany wirusem Polizja. Nie mogłem sobie z nim poradzić w dostępnych poradnikach w internecie. Przesyłam Państwu pliki, które zrobiłem: FRST.txt, GMER-quick scan oraz GMER skan partycji C. Czy te pliki wystarczą do diagnostyki?

 

Pozdrawiam

 

FRST.txt

GMERfast.txt

GMERscanC.txt

[jessica]

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2) Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [] => [X]
Startup: C:\Users\Skoda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8z8mq8zq3.lnk [2014-03-29]
ShortcutTarget: 8z8mq8zq3.lnk -> C:\ProgramData\3qz8qm8z8.gsa (Microsoft Corporation)
C:\ProgramData\8z8mq8zq3.bbr
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

jessi

[George]

Dziękuję za odpowiedź.

 

Zrobiłem krok po kroku, ale w punkcie 3 nie zauważyłem nigdzie opcji aby zaznaczyć: Additional.txt Shortcut.txt, (załączam z zdjęcie z tego co było widać)

 

natomiast uruchomiłem po tym wszystkim laptopa i po starcie Windowsa nie wyświetla mi już komunikatu o wirusie! (a działo się to zawsze 10 sek. po uruchomieniu Windowsa). Wszystko działa poprawnie. Dziękuję bardzo. Czy jeszcze coś trzeba zrobić? Jaki Państwo polecają antywirus profilaktycznie?

Fixlog.txt

FRST.txt

[jessica]

S2 Winmgmt; C:\PROGRA~2\3qz8qm8z8.gsa [X]

 

ale w punkcie 3 nie zauważyłem nigdzie opcji aby zaznaczyć: Additional.txt Shortcut.txt

+

Tryb startu: Recovery

UWAGA!:=====> Jeśli system uruchamia się, FRST należy uruchomić z poziomu Trybu awaryjnego lub normalnego w celu utworzenia kompletnego raportu.

zrób nowe logi z normalnego FRST

 

Być może jutro temat przejmie już @Picasso https://www.fixitpc.pl/topic/29279-zg%C5%82oszenia-temat%C3%B3w-bez-odpowiedzi/

 

jessi

[George]

Dzięki. Wiem już z czym z nazwy miałem do czynienia.

 

Przesyłam logi z normalnego FRST.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

==================== Punkty Przywracania systemu =========================

 

Niepowodzenie przy listowaniu punktów przywracania

Sprawdź usługę "winmgmt" lub napraw WMI.

 

 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============

 

Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI.

 

=================================================================

S2 Winmgmt; C:\PROGRA~2\3qz8qm8z8.gsa [X]

 

===================================================================

Error: (12/31/2007 11:17:31 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Instrumentacja zarządzania Windows zakończyła działanie; wystąpił następujący błąd:

Nie można odnaleźć określonego modułu.

1) Masz ustawioną złą datę - ustaw właściwą.

 

2) Otwórz Notatnik i wklej w nim:

 

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

jessi

[George]

Przesyłam fixlog.txt

Fixlog.txt

[jessica]

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.
Zrestartuj komputer.

 

Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

 

jessi

[George]

Przesyłam

Fixlog.txt

[jessica]

Klucze wyglądają dobrze, więc chyba powinno być OK.

 

Zrób logi FRST - przed skanem zaznacz "Addition.txt"

 

jessi

[George]

Dzięki Wielkie Bardzo.

 

Podsyłam logi

Addition.txt

FRST.txt

[jessica]

Nawet nieźle to wygląda.

 

Otwórz Notatnik i wklej w nim:

 

Task: {254C5A84-ACDA-4C6F-BC9D-B8B63306DD7B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku <==== UWAGA
Task: {30C63AD2-3209-47CD-9097-3BB7E35E2EE7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku <==== UWAGA
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.53\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Jeśli będzie OK, to możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

Jeśli natomiast uznasz, że nie jest OK, to zgłosisz temat w temacie https://www.fixitpc.pl/topic/29279-zg%C5%82oszenia-temat%C3%B3w-bez-odpowiedzi/

 

jessi

[picasso]

George

 

Żródem infekcji są dziurawe programy z lukami. W raporcie pełno kwiatków tego typu. Na dodatek system Windows kompletnie nieaktualizowany, brak SP1 + IE 11 i reszty łat. Jeśli nie zlikwidujesz źródła, infekcja może wrócić. Pomiń w/w skrypt i zamiennie wykonaj to:

 

1. Odinstaluj: Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Apple Application Support, Apple Software Update, avast! Free Antivirus, Foxit Reader, Google Chrome, McAfee Security Scan Plus, Mozilla Firefox (3.6.13), QuickTime, Skype web features, Skype™ 4.1. Co potrzebne w najnowszych wersjach doinstaluj, temat przyklejony: KLIK. Aktualizacja Windows zajmie sporo czasu, więc na razie wątek pomijam.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

 

 

Jessika

 

Na przyszłość, w przypadku takiej modyfikacji Winmgmt wystarczy tylko załączyć linię w Fixlist (z poziomu RE lub Windows). Z tutoriala FRST:

 

Wyjątek stanowi usługa Instrumentacja zarządzania Windows (Windows Management Instrumentation) zmanipulowana przez infekcję typu Ransomware. W tym przypadku zobaczysz coś w stylu:

 

S2 Winmgmt; C:\PROGRA~2\dfgujiynkowgcsquunu.bfg [x]

 

Załączenie linii w fixlist nie usunie usługi systemowej Winmgmt, lecz przywróci domyślną postać klucza Parameters.

Poza tym, przeczytaj o nowych komendach StartRegedit: + EndRegedit:. Już nie ma potrzeby tworzenia plików FIX.REG ręcznie, FRST obecnie załatwia sprawę z automatu (buduje REG i go importuje).

 

 

PS. A pierwsze podejście z FIX.REG się nie udało prawdopodobnie dlatego, że import rejestru był podany pod Windows a nie pod RE. On przypuszczalnie robił to z RE, skoro nie mógł wejść do Windows. W RE nie istnieje "CurrentControlSet".

[George]

Odinstalowałem wymienione aplikacje. Nie instalowałem niczego nowego.

 

Przesyłam logi. 

Addition.txt

FRST.txt

[picasso]

Deinstalacje wykonane pomyślnie. Jeszcze usunięcie szczątków po usuniętych programach. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKLM\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
Task: {254C5A84-ACDA-4C6F-BC9D-B8B63306DD7B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {30C63AD2-3209-47CD-9097-3BB7E35E2EE7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {367A9491-C082-4E66-9649-60E612CC9611} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3517277547-1881798067-4234930673-1000Core => C:\Users\Skoda\AppData\Local\Google\Update\GoogleUpdate.exe
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.53\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\McAfee Security Scan
RemoveDirectory: C:\Program Files\Mozilla Firefox
RemoveDirectory: C:\Program Files\Skype
RemoveDirectory: C:\ProgramData\Alwil Software
RemoveDirectory: C:\ProgramData\Skype
RemoveDirectory: C:\Users\Skoda\AppData\Local\Google
CMD: del /q C:\AVScanner.ini
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi automatyczny restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

[George]

Przesyłam wynikowy fixlog.txt

Fixlog.txt

[picasso]

Fix wykonany. Kończymy:

 

1. Skasuj FRST i jego logi z dysku F:. Skorzystaj też z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

 

2. Do wglądu lista programów zabezpieczających: KLIK. Przyjrzyj się na sekcję Anti-Exploit, Anti-Ransomware.

 

3. Przypominam o wykonaniu pełnej aktualizacji systemu.

[George]

Dziękuję Wam bardzo jessica i picasso! Jesteście niesamowite! :-)