Wirus podszywający się pod policję

eugeniusz_p · 16 Listopad 2013 19:41

Witam,

Zakładam nowy temat ponieważ mój poprzedni post został usunięty - dopisałem się do wątku o tym samym temacie.

Skoro jednak musze założyć nowy wątek to robię to.

Chodzi o wirus, podszywający się pod KGP.

Różnica polega na tym, że tryb awaryjny - również ten z wierszem poleceń się nie uruchamia.

(tak jak w przypadku zwykłego trybu awaryjnego w pewnym momencie następuje restart).

Zatem nie udało mi się zastosować chwytu opisanego w innych wątkach (np. Combofix z pendrive’a).

Kilka uwag:

Próbowałem skanować za pomocą Rescue Disk: Kaspersky, F-Secure, AVG.

Niestety żaden z nich nie wykrywa wirusa - możliwe że to jakaś nowa odmiana.

Najnowsza baza wirusów, z Kaspersky’ego, była z października 2013.

Pod AVG i F-Secure nie udało mi się zrobić aktualizacji (baza wirusów z czerwca 2013) gdyż nie działa sieć

(możliwe że wirus ją jakoś blokuje).

Ktoś mógłby mi poradzić co zrobić?

Zaznaczę że nie jestem zaawansowanym komputerowcem a system jakiego używam to Vista (oryginalna)

Atis · 16 Listopad 2013 19:55

Czy wykonałeś leczenie rejestru?

Sposób uruchamiania narzędzia Kaspersky WindowsUnlocker i leczenia rejestru:

http://support.kaspersky.com/pl/viruses … 993#launch

eugeniusz_p · 17 Listopad 2013 17:31

Witam,

dziś zrobiłem czyszczenie rejestru wg instrukcji z linka.

Potem jeszcze raz przeskanowałem komputer - Kaspersky nic nie wykrył.

Niestety nic to nie dało bo komputer nadal jest zablokowany.

Atis · 18 Listopad 2013 08:04

Pobierz na pendrive Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit

Uruchomienie FRST - scenariusz trzeci: Wiersz polecenia z opcji Napraw komputer

eugeniusz_p · 18 Listopad 2013 11:49

Witam, mam nadzieję że nic nie sknociłem.

Oto log z FRST: http://wklejto.pl/182058

Atis · 18 Listopad 2013 15:55

Wszystkie logi umieszczaj na http://wklej.org/ i podaj link.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

unlock: C:$Recycle.Bin\S-1-5-21-2016179650-1997138276-1429671253-1000$8d4ac3ec43f27bd5ef65d4bb37897e8a unlock: C:$Recycle.Bin\S-1-5-18$8d4ac3ec43f27bd5ef65d4bb37897e8a unlock: C:$Recycle.Bin HKLM…D6A79037F57F\InprocServer32: [Default-fastprox] C:$Recycle.Bin\S-1-5-18$8d4ac3ec43f27bd5ef65d4bb37897e8a\n. ATTENTION! ====> ZeroAccess? Startup: C:\Users\Zbych\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8dbwo8.lnk ShortcutTarget: 8dbwo8.lnk -> C:\PROGRA~2\8owbd8.dss () S2 Winmgmt; C:\ProgramData\8owbd8.dss [156160 2013-11-14] () S0 45dd403ca03e10d3; \SystemRoot\System32\Drivers\45dd403ca03e10d3.sys [x] C:\ProgramData\8dbwo8.reg C:\ProgramData\8dbwo8.bxx C:\ProgramData\8dbwo8.fvv C:\ProgramData\8owbd8.dss C:$Recycle.Bin\S-1-5-21-2016179650-1997138276-1429671253-1000$8d4ac3ec43f27bd5ef65d4bb37897e8a C:$Recycle.Bin\S-1-5-18$8d4ac3ec43f27bd5ef65d4bb37897e8a C:$Recycle.Bin C:\Users\Zbych\AppData\Local\Temp*.exe C:\Users\Zbych\AppData\Local\Temp*.dll

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Spróbuj normalnie uruchomić system i utwórz nowy log FRST i Addition.

anon96572732 · 18 Listopad 2013 16:23

eugeniusz_p zapoznaj się zasadami wklejania logów na forum: obowiazkowe-logi-t253052.html

a następnie, korzystając z przycisku

W przeciwnym razie, temat trafi do Kosza.

eugeniusz_p · 18 Listopad 2013 20:18

Dziękuje bardzo za pomoc

Tu jest link do Fixlog: http://wklejto.pl/182064

Mam jeszcze jedno pytanie: jak rozumieć to “Addition” ?

(co mam jeszcze wkleić prócz nowego logu z FRST)

DZIĘKUJE BARDZO - Atis jesteś wielki !

właśnie uruchomiłem system i wszystko jest normalnie - bez wirusa

EDIT: jeszcze głupie pytanie zadam - opłaca się skanować teraz jeszcze raz komputer antywirusem?

(pytam bo poprzednim razem nie wykrył nic)

Atis · 19 Listopad 2013 09:52

To nie wszystko, bo dodatkowo był trojan ZeroAccess, a ten kasuje niektóre usługi systemowe.

Uruchom FRST normalnie podczas działania systemu i kliknij Scan.

Zostaną utworzone dwa logi: FRST.txt i Addition.txt

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.

eugeniusz_p · 19 Listopad 2013 12:36

Hmm… to jakiś nowy trojan? Kaspersky i Avira nie wykryły go.

Logi:

FRST: http://www.wklejto.pl/182120

Addition: http://www.wklejto.pl/182121

FSS: http://www.wklejto.pl/182132

Atis · 19 Listopad 2013 18:42

Znany od dawna trojan który modyfikuje systemową usługę Instrumentacja zarządzania Windows.

Problem w tym, że ta usługa jest uruchamiana również w awaryjnym.

ZeroAccess to też od dawna znana infekcja.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pobierz i uruchom ESET ServicesRepair

Postępuj zgodnie z zaleceniami programu.

Po restarcie utwórz nowy raport z Farbar Service Scanner.

eugeniusz_p · 19 Listopad 2013 20:25

Logi:

Fixlog: http://www.wklejto.pl/182176

FRST: http://www.wklejto.pl/182177

FSS (po ServicesRepair) : http://www.wklejto.pl/182180

Program ServicesRepair stworzył folder “CC Support” - można go usunąć?

Atis · 20 Listopad 2013 14:10

Możesz skasować folder CC Support

Pobierz plik FIX:

http://sendfile.pl/96898/FIX.reg

Kliknij praym na pliku FIX i wybierz Scal.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST i kliknij Fix. Później ręcznie skasuj C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

eugeniusz_p · 20 Listopad 2013 17:09

Czy po tym wszystkim to już koniec będzie czy mam jeszcze jakieś logi wkleić?

Atis · 21 Listopad 2013 08:22

Na tym koniec i nie potrzeba nowych logów.

eugeniusz_p · 22 Listopad 2013 18:49

To świetnie. BARDZO dziękuje za pomoc. :!: