Słynny problem z komunikatem policyjnym

Dla specjalistów Bezpieczeństwo
#1

Witam, mam taki problem jak nie pewnie pierwsza osoba przy próbie pobrania czegoś trafiłem na pewnego wirusa w postaci komunikatu policyjnego. Chodzi tu o to, że przy podłączeniu się do internetu, blokuje mi się pulpit a na screen wyskakuje komunikat, że niby złamałem jakieś prawa i muszę zapłacić 300 zł za to. Combofix niby miał sobie poradzić lecz działa on jednorazowo na włączenie komputera, przy wyłączeniu i ponownym włączeniu problem pojawia się ponownie. Wrzucam dodatkowo log combofix:

ComboFix 12-11-28.02 - Krajek 2012-11-28 18:11:27.3.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1790.972 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Krajek\Pulpit\ComboFix.exe

AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

c:\documents and settings\All Users\Dane aplikacji\lsass.exe

c:\documents and settings\Krajek\wgsdgsdgdsgsd.exe

c:\windows\DPINST.LOG

c:\windows\system32\msconfig.exe

c:\windows\system32\Updater

c:\windows\system32\Updater\gpup.exe

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

c:\windows\system32\midimap.dll . . . jest zainfekowany!!

.

c:\windows\system32\CTFMON.EXE . . . jest zainfekowany!!

.

.

((((((((((((((((((((((((( Pliki utworzone od 2012-10-28 do 2012-11-28 )))))))))))))))))))))))))))))))

.

.

2012-11-28 16:40 . 2012-11-28 16:40 -------- d-----w- c:\documents and settings\Administrator

2012-11-26 20:51 . 2012-11-26 23:48 -------- d-----w- c:\documents and settings\NetworkService\Dane aplikacji\Notepad++

2012-10-30 21:55 . 2012-10-30 21:55 -------- d-----w- c:\program files\Tibiacast

2012-10-30 21:10 . 2012-10-30 21:10 -------- d-----r- c:\documents and settings\LocalService\Moje dokumenty

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-01 15:14 . 2012-10-02 16:54 134184 ----a-w- c:\windows\system32\drivers\avipbb.sys

2012-09-24 07:58 . 2012-10-02 16:54 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys

2012-09-13 08:58 . 2012-10-02 16:54 83792 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-11-01 13:05 . 2012-11-01 13:04 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren’t necessarily malware.

.

[-] 2010-01-17 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2010-01-17 14:27 . 4678172D19476FA7D539682FCA42C942 . 1420800 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

.

[-] 2010-01-17 . 335813EACD16E84F3047A3326F6E5473 . 549888 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

.

[-] 2010-01-17 . 37ED43F3DEC4400586554D61C3129478 . 112128 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe

.

[-] 2010-01-17 . 02D7CEB05E0118EB592208354C21D821 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll

[7] 2008-04-14 . 737739FACEAD60683AA8D7FF7602FD14 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

[7] 2001-08-18 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

.

[-] 2009-06-26 . 946665FA0CC98F57E1023CD21F149D8B . 642560 . . [5.1.2600.3099] . . c:\windows\system32\user32.dll

.

[-] 2009-12-09 . A9BD5F368966EA709A4BFF992F583F07 . 1705984 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

[-] 2008-04-14 . 6D80898D552439B00B2AB651C4B60C3A . 270336 . . [5.1.2600.5512] . . c:\windows\regedit.exe

.

[-] 2010-01-17 . EB3B4771498DD3FFD97E123643A26D91 . 1312256 . . [5.1.2600.5512] . . c:\windows\system32\ole32.dll

.

[-] 2001-02-19 20:09 . D36A33C21EEED5A6C1DAECB7C80A1909 . 8192 . . [1.00.2409.7 built by: Lab06_N] . . c:\windows\system32\CTFMON.EXE

.

[-] 2008-04-25 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

[-] 2010-01-17 . 572B0A653990AFE6B71D38D7DD2F202D . 370688 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll

.

[-] 2009-09-12 . 1E259C2EBA74C4BF719ECB02286F3F38 . 2286592 . . [5.1.2600.5755] . . c:\windows\system32\ntoskrnl.exe

.

[-] 2010-01-17 . 193B2DEA1AB15B511DDBB8E01E034477 . 42496 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Gadu-Gadu”=“d:\program files\programy\Gadu-Gadu\gg.exe” [2005-08-30 1708032]

“Steam”=“d:\program files\Gry\Steam\steam.exe” [2012-09-02 1353080]

“DAEMON Tools Lite”=“c:\program files\DAEMON Tools Lite\DTLite.exe” [2011-01-20 1305408]

“Sony PC Companion”=“c:\program files\Sony\Sony PC Companion\PCCompanion.exe” [2012-09-12 445624]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“DrvIcon”=“c:\program files\Vista Drive Icon\DrvIcon.exe” [2008-04-13 49152]

“SynTPLpr”=“c:\program files\Synaptics\SynTP\SynTPLpr.exe” [2008-04-10 122880]

“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2008-04-10 524288]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2011-01-07 13880424]

“SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-10-29 249064]

“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe” [2010-11-15 35736]

“Adobe ARM”=“c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2010-11-15 932288]

“NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2007-03-09 153136]

“avgnt”=“c:\program files\Avira\AntiVir Desktop\avgnt.exe” [2012-09-25 386336]

.

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“nltide_2”=“shell32” [X]

“_nltide_3”=“advpack.dll” [2009-03-08 128512]

.

c:\documents and settings\Default User\Menu Start\Programy\Autostart\

Styler.lnk - c:\documents and settings\Krajek\Dane aplikacji\Microsoft\Installer{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}_585b207a.exe [2011-3-21 15086]

.

c:\documents and settings\Administrator\Menu Start\Programy\Autostart\

Styler.lnk - c:\documents and settings\Krajek\Dane aplikacji\Microsoft\Installer{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}_585b207a.exe [2011-3-21 15086]

.

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

“DisableCAD”= 1 (0x1)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“NoSMHelp”= 1 (0x1)

“NoSMConfigurePrograms”= 1 (0x1)

“NoResolveTrack”= 1 (0x1)

.

[HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer]

“NoSMHelp”= 1 (0x1)

“NoSMConfigurePrograms”= 1 (0x1)

“NoResolveTrack”= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

.

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“%windir%\system32\sessmgr.exe”=

“d:\Program Files\Gry\Steam\Steam.exe”=

“d:\Program Files\EA Sports\FIFA 11\Game\fifa.exe”=

“d:\heroes\Heroes3.exe”=

“c:\WINDOWS\system32\dplaysvr.exe”=

“d:\heroes\Heroes33.exe”=

“d:\Program Files\KONAMI\Pro Evolution Soccer 2012\pes2012.exe”=

“d:\Program Files\programy\Gadu-Gadu\gg.exe”=

“d:\SopCast\SopCast.exe”=

“d:\Program Files\Gry\Steam\steamapps\zaper9g\counter-strike\hl.exe”=

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-10-02 36552]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-05-20 218688]

R2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-10-02 84256]

S3 ALSysIO;ALSysIO;??\c:\docume~1\Krajek\USTAWI~1\Temp\ALSysIO.sys – c:\docume~1\Krajek\USTAWI~1\Temp\ALSysIO.sys [?]

S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [2011-03-21 171520]

S3 Sony PC Companion;Sony PC Companion;c:\program files\Sony\Sony PC Companion\PCCService.exe [2012-09-27 155320]

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{D58F39FF-953E-4F45-898F-59F243B9A523}]

2009-03-08 03:32 128512 ----a-w- c:\windows\system32\advpack.dll

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d

mStart Page = hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Krajek\Dane aplikacji\Mozilla\Firefox\Profiles\280kqbfr.default\

FF - prefs.js: browser.search.selectedEngine - Web Search

FF - prefs.js: browser.startup.homepage - hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d

FF - prefs.js: keyword.URL - hxxp://startsear.ch/?aff=2src=spcf=7e … e21ea2dq=

FF - prefs.js: network.proxy.type - 0

.

        • USUNIĘTO PUSTE WPISY - - - -

.

AddRemove-Gadu-Gadu - d:\programy\Gadu-Gadu\Setup.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-11-28 18:18

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

.

skanowanie ukrytych procesów …

.

skanowanie ukrytych wpisów autostartu …

.

skanowanie ukrytych plików …

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

.

              • ‘winlogon.exe’(756)

c:\windows\system32\SETUPAPI.dll

c:\windows\system32\sfc_os.dll

c:\windows\system32\cscui.dll

.

              • ‘lsass.exe’(812)

c:\windows\system32\setupapi.dll

c:\windows\system32\scecli.dll

c:\windows\system32\psbase.dll

.

Czas ukończenia: 2012-11-28 18:23:11

ComboFix-quarantined-files.txt 2012-11-28 17:23

.

Przed: 2 175 160 320 bajtów wolnych

Po: 2 552 434 688 bajtów wolnych

.

    • End Of File - - C6151B945F191162C2AF973863C67C05