Blokada komputera - FBI Moneypak Wirus

foczasty · 19 Lipiec 2012 16:00

Kolega ma problem i proszę o szybką “szczepionkę”

Precyzując, dodaję, że chodzi o problem typu : “FBI zablokowało mi komputer”

podczas korzystania z przeglądarki pojawia mu się ów komunikat.

OTL:

http://wklej.org/id/793855/

EXTRAS:

http://wklej.org/id/793857/

Atis · 19 Lipiec 2012 16:48

Odinstaluj jeden program antywirusowy, bo jednocześnie działa Norton Internet Security i G Data InternetSecurity.

Odinstaluj:

YouTube Downloader Toolbar

Conduit Engine

NCH EN Toolbar

uTorrentBar Toolbar

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2012-06-27 17:01:34 | 000,791,488 | ---- | M] (Spigot, Inc.) [Auto | Running] – C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe – (Application Updater) IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT2801948 IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 FF - prefs.js…browser.search.defaultthis.engineName: “NCH EN Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}” FF - prefs.js…extensions.enabledItems: wtxpcom@mybrowserbar.com:6.0 FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.2.3.3 FF - prefs.js…extensions.enabledItems: youtubedownloader@mybrowserbar.com:6.0 [2011-12-11 10:20:29 | 000,000,000 | —D | M] (NCH EN Community Toolbar) – C:\Users\NFS\AppData\Roaming\mozilla\Firefox\Profiles\9chyxdao.default\extensions{37483b40-c254-4a72-bda4-22ee90182c1e} [2010-12-04 21:21:50 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Users\NFS\AppData\Roaming\mozilla\Firefox\Profiles\9chyxdao.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-12-04 21:21:50 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\NFS\AppData\Roaming\mozilla\Firefox\Profiles\9chyxdao.default\extensions\engine@conduit.com [2011-11-23 10:43:44 | 000,000,915 | ---- | M] () – C:\Users\NFS\AppData\Roaming\Mozilla\Firefox\Profiles\9chyxdao.default\searchplugins\conduit.xml [2012-07-02 17:08:05 | 000,000,000 | —D | M] (Widgi Toolbar Platform) – C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM [2012-07-02 17:08:05 | 000,000,000 | —D | M] (YouTube Downloader Toolbar) – C:\PROGRAM FILES (X86)\YOUTUBE DOWNLOADER TOOLBAR\FF O4 - HKLM…\Run: [] File not found O4 - HKCU…\Run: [Fotkomat] C:\Program Files (x86)\Fotkomat\Fotkomat.exe File not found O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files (x86)\Nowe Gadu-Gadu\gg.exe” File not found O4 - HKLM…\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) [2012-07-19 16:57:37 | 000,001,885 | ---- | M] () – C:\Users\NFS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk [2012-07-19 16:57:36 | 004,503,728 | ---- | C] () – C:\ProgramData\pmt_0piot.pad :Files C:\Users\NFS\AppData\Local{5d099816-d128-1d1c-310a-e757b2b26f3a} C:\Windows\Installer{5d099816-d128-1d1c-310a-e757b2b26f3a} :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

foczasty · 19 Lipiec 2012 17:25

"Wiśnia

19:24

nie moge odinstalowac

Conduit Engine

NCH EN Toolbar

uTorrentBar Toolbar

tego

bo wyskakuje mi nieprawidlpwy dostep do lokalizacji w pamieci"

Atis · 19 Lipiec 2012 17:29

Użyj skryptu i pokaż nowy log.

foczasty · 19 Lipiec 2012 18:07

Skan

http://wklej.org/id/793932/

Raport

http://wklej.org/id/793934/

Atis · 19 Lipiec 2012 18:15

Uruchom cmd jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

W wierszu polecenia wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

Później zrestartuj komputer.

Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.

foczasty · 19 Lipiec 2012 18:34

W imieniu kolegi dziękuje za pomoc .

Atis · 19 Lipiec 2012 18:40

Przecież system jest nadal zainfekowany przez ZeroAcces (Sirefef)

Zainfekowany jest ważny plik systemowy services.exe:

Na Virustotal można sprawdzać pliki wyszukując sumę kontrolną:

https://www.virustotal.com/file/e647717 … /analysis/

Poza tym w autostarcie jest szkodliwy skrót:

foczasty · 19 Lipiec 2012 19:20

Tak więc jakieś solucje jak się pozbyć dalszego syfu ?

adam9870 · 19 Lipiec 2012 19:29

Zobacz wiadomość Atis z 19 lipca 2012 20:15:49

Pozdrawiam.

foczasty · 19 Lipiec 2012 19:47

Oto skan po ingerencji w cmd :

http://wklej.org/id/794030/

Atis · 19 Lipiec 2012 20:16

Uruchom cmd jako administrator i wklej to:

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files (x86)\YouTube Downloader Toolbar\IE\6.0\youtubedownloaderToolbarIE.dll (Spigot, Inc.) FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=937811&ilc=12” O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.) O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files (x86)\YouTube Downloader Toolbar\IE\6.0\youtubedownloaderToolbarIE.dll (Spigot, Inc.) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\NFS\AppData\Roaming\Nowe Gadu-Gadu_userdata\ggbho.1.dll File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files (x86)\YouTube Downloader Toolbar\IE\6.0\youtubedownloaderToolbarIE.dll (Spigot, Inc.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (NCH EN Toolbar) - {37483B40-C254-4A72-BDA4-22EE90182C1E} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.) O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe” “sleep” File not found [2012-07-02 17:08:03 | 000,000,000 | —D | C] – C:\Program Files (x86)\YouTube Downloader Toolbar [2012-07-02 17:08:03 | 000,000,000 | —D | C] – C:\Program Files (x86)\Common Files\Spigot [2012-07-02 17:08:03 | 000,000,000 | —D | C] – C:\Program Files (x86)\Application Updater :Files C:\Users\NFS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\Program Files (x86)\uTorrentBar C:\Program Files (x86)\YouTube Downloader Toolbar C:\Program Files (x86)\ConduitEngine C:\Program Files (x86)\NCH_EN :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{590E3295-A11B-4C9F-9F88-399397EE393D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NCH_EN Toolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

wisnia1906 · 20 Lipiec 2012 08:25

Raport : http://wklej.org/id/794228/

log: http://wklej.org/id/794237/

Atis · 20 Lipiec 2012 08:45

Wklej do systemowego notatnika:

Z menu notatnika > Plik > Zapisz jako > ustaw rozszerzenia na Wszystkie pliki > Zapisz pod nazwą FIX.REG

Kliknij prawym na pliku FIX.REG i wybierz Scal.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Pobierz i uruchom:

http://www.bleepingcomputer.com/downloa … e-scanner/

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

wisnia1906 · 20 Lipiec 2012 13:17

Results of screen317’s Security Check version 0.99.43 Windows 7 x64 (UAC is enabled) Out of date service pack!! Internet Explorer 9 Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Norton Internet Security G Data InternetSecurity 2011 Antivirus out of date! Anti-malware/Other Utilities Check: Java 6 Update 29 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (3.6.13) Firefox out of Date! Google Chrome 20.0.1132.47 Google Chrome 20.0.1132.57 Google Chrome Plugins… Process Check: objlist.exe by Laurent G Data InternetSecurity Firewall GDFirewallTray.exe G Data InternetSecurity Firewall GDFwSvcx64.exe System Health check Total Fragmentation on Drive C: ````````````````````End of Log``````````````````````

Atis · 20 Lipiec 2012 13:30

A gdzie raport z Farbar Service Scanner?

W panelu sterowania odinstaluj:

Java 6 Update 29

Adobe Reader 9

Później zainstaluj:

wisnia1906 · 20 Lipiec 2012 13:38

Zaraz wrzucę ten raport.

– Dodane 20.07.2012 (Pt) 20:20 –

raport FSS : http://wklej.org/id/794643/

log z Malwaresbyte : http://wklej.org/id/794644/

Przepraszam, że tak długo ale nie było mnie w domu .

Atis · 20 Lipiec 2012 22:20

Musisz naprawić zaporę i centrum zabezpieczeń:

http://www.fixitpc.pl/topic/6855-rekons … u-windows/

http://www.fixitpc.pl/topic/6767-rekons … u-windows/

Windows defender i aktualizacje.

Wklej do systemowego notatnika:

http://wklej.org/id/783441/txt/

Z menu notatnika > Plik > Zapisz jako > ustaw rozszerzenia na Wszystkie pliki > Zapisz pod nazwą FIX.REG

Kliknij prawym na plik FIX.REG i wybierz Scal.

wisnia1906 · 21 Lipiec 2012 10:34

Wykonane.