UKASH - ofiara ataku wirusa o naruszeniu prawa polskiego

Corsarz · 6 Lipiec 2012 21:51

Witam, Jestem kolejną ofiarą ataku. Podczas użytkowania komputera w trybie normalnym ukazuje się okno “Komputer zostal zablokowany z powodu naruszenia prawa polskiego”. Nie wiem jak to obejść więc zwracam się z prośbą do was. Proszę o pomoc.

http://wklej.org/id/785679/ - OTL

http://wklej.org/id/785680/ - Extras

Atis · 6 Lipiec 2012 21:57

W panelu sterowania odinstaluj:

SweetPacks Toolbar for Internet Explorer

Babylon toolbar on IE

uTorrentBar Toolbar

vShare.tv plugin

Yahoo! Companion

Yontoo

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\Monfilt.sys – (Monfilt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\Ambfilt.sys – (Ambfilt) IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?affID=110819&tt=100512_3_&babsrc=KW_ss&mntrId=a87b977f000000000000001a4d6ef2ad&q=” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://search.sweetim.com/search.asp?src=2&q=” [2012-05-30 17:09:40 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-05-05 23:40:54 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions\plugin@yontoo.com [2012-02-04 16:25:11 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\startsear.xml [2012-05-05 23:39:46 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\sweetim.xml [2012-05-13 13:24:36 | 000,000,000 | —D | M] (General Crawler) – C:\DOCUMENTS AND SETTINGS\ADMIN\DANE APLIKACJI\MOZILLA\EXTENSIONS{EC8030F7-C20A-464F-9B0E-13A3A9E97384}\GENCRAWLER@SOME.COM [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) – C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-05-13 13:24:06 | 000,002,352 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () O4 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Run: [Media Finder] “C:\Program Files\Media Finder\Media Finder.exe” /opentotray File not found [2012-07-06 18:26:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Admin\Dane aplikacji\hellomoto [2012-02-04 21:55:39 | 000,000,000 | —D | M] – C:\Documents and Settings\Admin\Dane aplikacji\Babylon [2012-05-13 13:24:24 | 000,000,000 | —D | M] – C:\Documents and Settings\Admin\Dane aplikacji\BabylonToolbar [2012-02-04 21:55:39 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-05-12 17:16:30 | 000,000,000 | —D | M] – C:\Documents and Settings\Donia\Dane aplikacji\BabylonToolbar :Files C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Corsarz · 6 Lipiec 2012 22:44

Nie mogę usunąć SweetPacks Toolbar for Internet Explorer. Wyświetla mi się ten komunikat: “Nie można uzyskać dostępu do Usługi Instalatora Windows. Może mieć to miejsce, jeśli system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany.”. Uruchamiając normalnie Windowsa pokazuje się komunikat o blokadzie komputera, więc nie mogę inaczej usunąć.

Zrobiłem co kazałeś tylko bez usuniętego SweetPacks Toolbar for Internet Explorer

http://wklej.org/id/785703/ - raport

Atis · 6 Lipiec 2012 22:49

Po wykonaniu tego skryptu system powinien prawidłowo działać w normalnym trybie.

Kliknij Skanuj i pokaż nowy log.

Corsarz · 6 Lipiec 2012 23:00

http://wklej.org/id/785708/ - OTL

http://wklej.org/id/785709/ - Extras

Pewnie bardziej dołożyłem do pieca, bo użyłem ComboFixa sądząc, że coś zadziała.

Atis · 6 Lipiec 2012 23:08

Do okna Własne opcje skanowania / skrypt wklej:

:OTL O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [recdisc] C:\Documents and Settings\Mama i Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3398\recdisc.exe () O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found [2012-07-07 00:14:03 | 000,000,000 | —D | M] – C:\Documents and Settings\Mama i Tata\Dane aplikacji\hellomoto :Files C:\Documents and Settings\Mama i Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3398 :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Agaton · 7 Lipiec 2012 06:43

Corsarz ,

Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie, w poście dokładnie opisać problem. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

Corsarz · 7 Lipiec 2012 10:42

http://wklej.org/id/785828/ - raport

http://wklej.org/id/785839/ - OTL

http://wklej.org/id/785840/ - Extras

Atis · 7 Lipiec 2012 11:11

Nie wiem co Ty robisz, że to wraca po restarcie?

Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

msconfig

Pokaż ten log.

Corsarz · 7 Lipiec 2012 11:28

Ale co moge robic źle? Robie wszystko według instrukcji. Wyłączony antywir, przeglądarki i wszystko inne prócz OTL. Dla pewności napiszesz co trzeba miec włączone/wyłączone podczas wykonywania skryptu?

http://wklej.org/id/785860/ - OTL

Atis · 7 Lipiec 2012 12:08

Nic nie wkleiłeś przed skanowaniem.

Wklej i kliknij Skanuj:

Corsarz · 7 Lipiec 2012 12:22

http://wklej.org/id/785896/ - OTL

http://wklej.org/id/785897/ - Extras

Atis · 7 Lipiec 2012 12:39

Wklej i kliknij Wykonaj skrypt:

Pokaż nowy log Skanuj

Corsarz · 7 Lipiec 2012 13:07

Działa, komunikat już się nie pokazuje. Chciałbym się dowiedziec czy wirus jeszcze się gnieździ.

http://wklej.org/id/785921/ - raport

Atis · 7 Lipiec 2012 13:12

To teraz odinstaluj:

SweetPacks Toolbar for Internet Explorer

Yahoo! Companion

Później pokaż nowy log Skanuj.

Corsarz · 7 Lipiec 2012 13:40

SweetPacks Toolbar for Internet Explorer nie moge odinstalowac. Przyczyna jest już mi znana od dawna, otóż przy przeciążaniu komputera zawiesza sie on i trzeba restartowac komputer.

http://wklej.org/id/785945/ - OTL

http://wklej.org/id/785946/ - Extras

Atis · 7 Lipiec 2012 13:50

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\Admin\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll () O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) [2012-07-07 00:25:34 | 000,000,000 | —D | M] – C:\Documents and Settings\Donia\Dane aplikacji\BabylonToolbar [2012-05-05 23:39:34 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\SweetIM :Files C:\Documents and Settings\Admin\Dane aplikacji\Media Finder C:\Program Files\SweetIM\Toolbars :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “{5B58EF61-85F2-4977-97A5-84C19F926579}”=- “{83AA2913-C123-4146-85BD-AD8F93971D39}”=-

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Corsarz · 7 Lipiec 2012 14:22

Zrobiłem to co kazałeś, aż do Sprzątania. Komputer teraz chodzi jak żółw tak, ze aby napisac ten post musiałem skorzystac z innego komputera. Co robic?

Atis · 7 Lipiec 2012 14:31

Sprzątanie kasuje tylko kwarantanne od OTL, więc nie wiem jak może powodować taki problem.

Spróbowałeś po sprzątaniu normalnie zrestartować system?

CTRL + Alt + Del i zobacz czy jakiś proces obciąża CPU

W awaryjnym problem również występuje?

Corsarz · 7 Lipiec 2012 14:33

W awaryjnym jest wszystko ok.