Komputer zablokowany

[mati771]

mój komputer został zablokowany i teraz chce ode mnie kod UKASH. odpalam teraz z trybu awaryjnego

dolaczam logi i prosze o pomoc

 

EDIT: Logi poprawione.

OTL.Txt

Extras.Txt

[picasso]

Logi z OTL stworzone z poziomu niewłaściwego konta:

 

Computer Name: SAGAN | User Name: Administrator | Logged in as Administrator.

 

Wchodząc w Tryb awaryjny zalogowałeś się na serwisowe konto Administrator, które nawet nie było zainicjowane przed tą akcją (wskazuje to log z OTL = foldery Administratora co dopiero wygenerowane). To oznacza, że: logi pokazują pół niewłaściwego rejestru (rejestry kont się różnią). Przejdź na swoje konto, zrób nowe logi z OTL i podmień załączniki w poście powyżej, a przejdę do analizy zasadniczej i tu zedytuję post własny.

 

 

EDIT: Logi wymienione. Prócz tej infekcji są jeszcze zachomikowane stare szczątki infekcji z pendrive oraz szczątki po niepełnej deinstalacji COMODO Internet Securirty. Akcja:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [zyaruexsxzlmzhd] C:\Documents and Settings\All Users\Dane aplikacji\zyaruexs.exe ()
[2012-06-25 21:09:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\kfsdaigxsqetjiz
[2012-06-25 21:14:24 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\qvwobidoeeqyvwr
[2012-06-25 21:09:04 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\xceaqfro.exe
[2012-06-25 21:09:04 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\nzjalrih.exe
[2012-06-25 21:09:04 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\gjjkscml.exe
[2012-06-25 21:09:04 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\cllkbala.exe
[2012-06-25 21:09:04 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\baabvepl.exe
[2010-12-03 23:06:44 | 000,130,048 | RHS- | C] () -- C:\WINDOWS\System32\arking1.dll
[2010-11-09 18:51:58 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking1.dll
[2010-11-08 19:21:14 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking0.dll
O20 - AppInit_DLLs: (C:\WINDOWS\system32\guard32.dll) -  File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
DRV - File not found [Kernel | Boot | Stopped] -- System32\DRIVERS\inspect.sys -- (Inspect)
DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\cmdhlp.sys -- (cmdHlp)
DRV - File not found [File_System | System | Stopped] -- System32\DRIVERS\cmdguard.sys -- (cmdGuard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302V32.SYS -- (PID_PEPI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Nastąpi sekwencja: restart > odblokowanie systemu > log z wynikami usuwania.

 

2. Wygeneruj do oceny nowe logi: OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Uruchomienie GMER wymaga usunięcia ofensywnego sterownika emulacji SPTD = wykonaj ogłoszenie o emulacji napędów wirtualnych: KLIK.

 

Dołącz też log OTL z wynikami usuwania, pozyskany w punkcie 1.

 

 

 

.

[mati771]

nowy log z otl i z wynikami skryptu. skrypt z GMERu troche potrwa

OTL.Txt

06282012_150117.txt

gmer log.txt

[picasso]

Zadanie podstawowe pomyślnie wykonane. W logu z GMER nie widzę aktywności rootkit, choć GMER jednak notuje, że tu był kiedyś rootkit w MBR dysku (zostały ślady w sektorach dysku). Przechodzimy do kolejnych czynności:

 

1. W OTL uruchom Sprzątanie, które zlikwiduje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery przywracania systemu: KLIK.

 

3. W związku z obecnością niedoleczonych resztek infekcji z USB i śladów rootkita + przestarzałym ESET wykonaj na wszelki wypadek skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw wszystkie obszary, zgłoś się z raportem (interesują mnie tylko wyniki typu "Detected...").

 

 

 

.

[mati771]

raport

disinfected.txt

[picasso]

Kaspersky jednak wykrył ... rootkita w MBR:

 

2012-06-29 09:34:10	Disinfected	Trojan program Rootkit.Boot.Sinowal.b	\Device\Harddisk0\DR0	High	
Status: Deleted   (events: 63)	

 

W związku z tym, że rootkit okazał się czynny, zresetuj system i sprawdź czy na pewno w aktualnej fazie ten rootkit nie jest już widziany - zweryfikuj to posługując się skanerem Kaspersky TDSSKiller.

 

 

 

.

[mati771]

raport

raport z tdsskiller.txt

[picasso]

TDSKiller nic już nie widzi, sprawa zdaje się być rozwiązana.

 

1. Odinstaluj Kaspersky Virus Removal Tool, o ile już to się nie stało (zamknięcie okna jest równoważne z deinstalacją), skasuj z dysku TDSSKiller. Ponów czyszczenie folderów Przywracania systemu.

 

2. Starożytny ESET do deinstalacji (siedział wspólnie z rootkitem w MBR i ani słowa). Po deinstalacji z poziomu Trybu awaryjnego popraw narzędziem ESET Uninstaller. W zamian z darmowych można zaproponować: COMODO Internet Security, Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials.

 

3. Do nadrobienia aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"{7148F0A8-6813-11D6-A77B-00B0D0142070}" = Java 2 Runtime Environment, SE v1.4.2_07
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 > brak SP3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

4. Dla bezpieczeństwa prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.