Policyjny wirus


(B67677) #1

Hej,

mam problem z ostatnio popularnym policyjnym wirusem, wystepuje on na jednym kontem w windowsie, aktualnie pisze z poziomu drugiego konta, ktore nie wyglada na zarazone

zalaczam logi

http://wklej.org/id/907846/

http://wklej.org/id/907848/


(adam9870) #2

Powinieneś wejść w tryb awaryjny, zalogować się na konto na którym jest infekcja i wykonać logi. Mniejsza z tym. Zrób tak następnym razem. Póki co usuniemy część infekcji, którą widać.

Uruchom OTL

Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.

W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\dsgsdgdsgdsgw.js


:Commands

[emptytemp]

Kliknij Wykonaj skrypt Zgódź się na ponowne uruchomienie (restart). Naciśnij OK. Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom. Po wszystkim przedstaw Nowy log OTL z opcji Skanuj Raport z usuwania OTL Uruchom System Look http://jpshortstuff.247fixes.com/SystemLook.exeW puste białe pole wklej:

:filefind

C:\Users\Karolinka\*.dll

C:\Users\Łukasz\*.dll

C:\Users\Karolinka\*.exe

C:\Users\Łukasz\*.exe


:dir

C:\Users\Karolinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup /s

C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup /s

i kliknij Look.

Czasami OTL nie pokazuje normalnie w logu plików dll i lnk Ukasha, ale FRST już np. tak. Zobaczymy co wyjdzie z OTL, jak coś, użyjemy innego narzędzia.


(B67677) #3

A wiec tak:

  • przy probie odpalenia trybu awaryjnego oraz zainfekowanego profilu (Karolinka) komputer sie restartuje

  • odpalilem podany skrypt na profilu Łukasz, pochodzil ok 5min i program zawiesil sie przy [emptytemp] - zrestartowalem komputer, tak samo za drugim razem

  • nowe logi:

http://wklej.org/id/907896/

http://wklej.org/id/907903/

  • system look

http://wklej.org/id/907899/

choc np widze ze w katalogu C:\Users\Karolinka jest plik wgsdgsdgdsgsd.dll


(adam9870) #4

Uruchom OTL

Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.

W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\Users\Karolinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Kliknij Wykonaj skrypt

Zgódź się na ponowne uruchomienie (restart). Naciśnij OK.

Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom.

Po wszystkim przedstaw

Nowy log OTL z opcji Skanuj

Raport z usuwania OTL

Daj znać czy problem dalej występuje.


(B67677) #5

Raport z usuwania:

http://wklej.org/id/907915/

nadal jednak w folderze: C:\Users\Karolinka widze plik wgsdgsdgdsgsd.dll

Po ponownym uruchomeniu komputera wszystko wyglada, ze jest OK

log ze skanowania:

http://wklej.org/id/907939/

http://wklej.org/id/907940/


(adam9870) #6

Uruchom OTL

Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.

W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)

:Files

C:\Users\Karolinka\wgsdgsdgdsgsd.dll

Kliknij Wykonaj skrypt

Zgódź się na ponowne uruchomienie (restart). Naciśnij OK.

Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom.

Po wszystkim przedstaw

Nowy log OTL z opcji Skanuj

Raport z usuwania OTL

Daj znać czy problem dalej występuje.

Pobierz Malwarebytes Anti-Malware Free http://www.malwarebytes.org/products/malwarebytes_free/

Podczas instalacji odrzuć ofertę instalacji płatnej wersji, aby zainstalować tylko darmowy skaner. Zaktualizuj. Przeskanuj.

Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszłości. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadają załatane luki, które są obecne w starszych wersjach tychże. W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomyślimy razem.


(B67677) #7

Plik usuniety, raport z OTL:

http://wklej.org/id/907954/

http://wklej.org/id/907955/

MBAM - szybkie skanowanie - http://wklej.org/id/907957/

checkup - http://wklej.org/id/907960/

czy mam cos jeszcze robic?

dzieki bardzo.


(adam9870) #8

Jest OK. Finalizujemy.

Uruchom OTL i kliknij Sprzątanie, aby usunąć OTL wraz z kwarantanną.

Zainstaluj Internet Explorer 9 http://download.microsoft.com/download/9/6/C/96C57665-6423-4851-9EC2-735F7B643D5B/IE9-Windows7-x86-plk.exe

Zastanów się nad aktualizacją Windows. Start - wszystkie programy - Windows Update

Odinstaluj Java 6 Update 37.

Zainstaluj Java 6 Update 38 (32-bit)

http://storage.dobreprogramy.pl/dodatki/jre-6u38-windows-i586(dobreprogramy.pl).exe

Odinstaluj Adobe Reader 10.1.3

Zainstaluj Adobe Reader XI 11.0.0

http://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/pl_PL/AdbeRdr11000_pl_PL.exe

Chyba masz przestarzałą wersję ESET NOD32 Antivirus.

Jeżeli chcesz to zostaw MBAM, to dobry skaner na żądanie.

Darmowe alternatywy dla ESET:

To wszystko.

Dziękuję, pozdrawiam, wszystkiego dobrego.


(B67677) #9

Ok, dzieki za zainteresowanie - OTL sprzatanie wykonane - programy zupdejtuje jutro, dzieki wielkie oraz rowniez pozdrawiam

EDIT. jeszcze pytanko o plik D:\autorun.inf - czy moze byc to potencjalny jakis syf z przeszlosci? pamietam, ze instalowalem flash disinfector ale nie jestem przekonany do konca czy jest to z tym zwiazane


(adam9870) #10

Edytuj tego autoruna w Notatniku i pokaż zawartość.


(B67677) #11

[autorun]

open=setup.exe

icon=btw.ico

label=BTW


(adam9870) #12

Masz setup.exe w tej samej lokalizacji, w której masz tego autoruna? Sprawdź od czego jest ten setup.exe i będziesz wiedział od czego jest autorun.