Wirus paysafecard, cyberprzestępczość


(Jajoi7) #1

Witam - dzisiaj przeglądając internet otrzymałem "mały prezent" właśnie w postaci wirusa ucash. Automatycznie komputer został zablokowany. Zrobiłem restart i uruchomiłem go w trybie awaryjnym z dostępem do sieci.

Zrobiłem logi OTL:

OTL: http://wklej.to/QwWvT

Extras: http://wklej.to/RCK9E

Jakie kroki powinienem teraz podjąć? Moje umiejętności nie są zbyt wysokie, więc proszę o dokładne instrukcje.

Pozdrawiam,

hubx


(Atis) #2

Pobierz plik FIX:

http://sendfile.pl/251534/FIX.reg

Kliknij prawym na pliku FIX i wybierz Scal

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.


(Jajoi7) #3

Usuwanie się zakończyło. To jest log, który pojawił się po autorestarcie komputera:

http://wklej.to/ZhK1l

Skanowanie zakończone - log:

http://wklej.to/6hM5h

Skan Farbarem - log:

http://wklej.to/w4SSb

-- Dodane 01.01.2013 (Wt) 23:21 --

Na pulpicie znajdują się dwa pliki o nazwie: desktop.ini

Są one przezroczyste - tak jakby istniały, ale tylko "domyślnie". Nie wiem skąd pochodzą - dopiero to zauważyłem, a przed pojawieniem się wirusa nie było ich. (Przepraszam za double-post, ale uznałem, że powinienem o tym napisać w nowym poście).

Proszę o przejrzenie powyższych logów - ewentualne pokierowanie, co powinienem zrobić - przeczyścić system CCleanerem i przeskanować antywirusem? Słyszałem również, że wirus dostaje się do systemu poprzez nieaktualną javę(czy to prawda?) - zaraz ją zaktualizuję.


(Atis) #4

Pliki desktop.ini to systemowe pliki i normalnie są ukryte, ale OTL ustawia pokazywanie plików ukrytych i systemowych.

Na koniec opcja Sprzątanie przywróci domyślne ustawienia.

Odinstaluj Ask Toolbar.

Pobierz plik FIX:

http://sendfile.pl/251534/FIX.reg

Kliknij prawym na pliku FIX i wybierz Scal

Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

Pobierz i uruchom ESET ServicesRepair

Postępuj zgodnie z zaleceniami programu.

Po restarcie utwórz nowy raport z Farbar Service Scanner


(Jajoi7) #5

Nie chciałbym tworzyć tutaj kolejnego wątku, ale nie mogę odinstalować Ask Toolbara - dezinstalacja trwa, i w około 3/4 procesu pojawia się komunikat o konieczności zamknięcia wszystkich okien przeglądarki Internet Explorer - wszystko mam zamknięte, komunikatory wyłączone, nawet inne przeglądarki zamknięte - czy jeśli nie odinstaluję tego Ask toolbara, to dalsze czynności mogą zostać zaburzone? Proszę o wyjaśnienie/pokierowanie jak to usunąć.

Oczywiście jeszcze powyższych czynności z tego powodu nie wykonywałem - dodatkowo (nie wiem czy to coś zmienia) zauważyłem, że po starcie systemu, załadowaniu pulpitu pokazuje się komunikat Rundll, że nie można znaleźć tego w..........exe (chodzi bodajże o tego wirusa)


(Atis) #6

Pomiń deinstalację tolobra i wykonaj pozostałe zalecenia związane z usunięciem trojana ZeroAccess (Sirefef).


(Jajoi7) #7

Kiedy wklejam do cmd.exe tą linijkę:

sfc /scanfile=C:\Windows\system32\services.exe

zamiast niej pokazuje się po ukośniku ^V (coś w stylu tych 2 znaków) - tak ma być czy coś źle robię? Wolę być dokładny niż potem żałować.


(Atis) #8

Ponieważ używasz skrótu klawiaturowego Ctrl+V

Kliknij prawym klawiszem myszy i wybierz Wklej.


(Jajoi7) #9

Okej - funkcja ochrony zasobów systemu windows odnalazła uszkodzone pliki i je naprawiła (pomyślnie). Zmiany zostaną dokonane po następnym rozruchu.

Teraz mam zrestartować notebooka i w OLT wkleić to:

tak?


(Atis) #10

Tak.


(Jajoi7) #11

Log z usuwania: http://wklej.to/YjES3

Log skanowania: http://wklej.to/9teYN

Z ESET'em i Farbarem zrobię jutro i przedstawię wyniki (zedytuję post) - niestety muszę się położyć ze względu na jutrzejszy, dość ciężki dzień. Oczywiście postaram się wszystko jak najszybciej zrobić i dziękuję za aktywną pomoc i poświęcany czas :slight_smile: .


(Atis) #12

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Wklej do OTL i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind ... tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.


(Jajoi7) #13

Ok - wszystko to zrobię, ale czy mam skorzystać z tego ESET'a i Farbara wcześniej, czy sobie darować i wykonać powyższe czynności?


(Atis) #14

Użyj ESET ServicesRepair.


(Jajoi7) #15

Ok znalazło jednego robaka usunąłem go - jest wszystko ok - teraz zajmę się dobraniem odpowiedniego antywirusa i zapory - jeszcze raz dziękuję za pomoc :slight_smile: .