Wirus podszywający się pod policję


(Eugeniusz P) #1

Witam,

Zakładam nowy temat ponieważ mój poprzedni post został usunięty - dopisałem się do wątku o tym samym temacie.

Skoro jednak musze założyć nowy wątek to robię to.

Chodzi o wirus, podszywający się pod KGP.

Różnica polega na tym, że tryb awaryjny - również ten z wierszem poleceń się nie uruchamia.

(tak jak w przypadku zwykłego trybu awaryjnego w pewnym momencie następuje restart).

Zatem nie udało mi się zastosować chwytu opisanego w innych wątkach (np. Combofix z pendrive'a).

Kilka uwag:

Próbowałem skanować za pomocą Rescue Disk: Kaspersky, F-Secure, AVG.

Niestety żaden z nich nie wykrywa wirusa - możliwe że to jakaś nowa odmiana.

Najnowsza baza wirusów, z Kaspersky'ego, była z października 2013.

Pod AVG i F-Secure nie udało mi się zrobić aktualizacji (baza wirusów z czerwca 2013) gdyż nie działa sieć

(możliwe że wirus ją jakoś blokuje).

Ktoś mógłby mi poradzić co zrobić?

Zaznaczę że nie jestem zaawansowanym komputerowcem a system jakiego używam to Vista (oryginalna)


(Atis) #2

Czy wykonałeś leczenie rejestru?

  1. Sposób uruchamiania narzędzia Kaspersky WindowsUnlocker i leczenia rejestru:

http://support.kaspersky.com/pl/viruses ... 993#launch


(Eugeniusz P) #3

Witam,

dziś zrobiłem czyszczenie rejestru wg instrukcji z linka.

Potem jeszcze raz przeskanowałem komputer - Kaspersky nic nie wykrył.

Niestety nic to nie dało bo komputer nadal jest zablokowany.


(Atis) #4

Pobierz na pendrive Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit

Uruchomienie FRST - scenariusz trzeci: Wiersz polecenia z opcji Napraw komputer


(Eugeniusz P) #5

Witam, mam nadzieję że nic nie sknociłem.

Oto log z FRST: http://wklejto.pl/182058


(Atis) #6

Wszystkie logi umieszczaj na http://wklej.org/ i podaj link.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Spróbuj normalnie uruchomić system i utwórz nowy log FRST i Addition.


(rgabrysiak) #7

eugeniusz_p zapoznaj się zasadami wklejania logów na forum: obowiazkowe-logi-t253052.html

a następnie, korzystając z przycisku zmien.gif

W przeciwnym razie, temat trafi do Kosza.


(Eugeniusz P) #8

Dziękuje bardzo za pomoc :slight_smile:

Tu jest link do Fixlog: http://wklejto.pl/182064

Mam jeszcze jedno pytanie: jak rozumieć to "Addition" ?

(co mam jeszcze wkleić prócz nowego logu z FRST)

DZIĘKUJE BARDZO - Atis jesteś wielki !

właśnie uruchomiłem system i wszystko jest normalnie - bez wirusa :smiley:

EDIT: jeszcze głupie pytanie zadam - opłaca się skanować teraz jeszcze raz komputer antywirusem?

(pytam bo poprzednim razem nie wykrył nic)


(Atis) #9

To nie wszystko, bo dodatkowo był trojan ZeroAccess, a ten kasuje niektóre usługi systemowe.

Uruchom FRST normalnie podczas działania systemu i kliknij Scan.

Zostaną utworzone dwa logi: FRST.txt i Addition.txt

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.


(Eugeniusz P) #10

Hmm... to jakiś nowy trojan? Kaspersky i Avira nie wykryły go.

Logi:

FRST: http://www.wklejto.pl/182120

Addition: http://www.wklejto.pl/182121

FSS: http://www.wklejto.pl/182132


(Atis) #11

Znany od dawna trojan który modyfikuje systemową usługę Instrumentacja zarządzania Windows.

Problem w tym, że ta usługa jest uruchamiana również w awaryjnym.

ZeroAccess to też od dawna znana infekcja.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pobierz i uruchom ESET ServicesRepair

Postępuj zgodnie z zaleceniami programu.

Po restarcie utwórz nowy raport z Farbar Service Scanner.


(Eugeniusz P) #12

Logi:

Fixlog: http://www.wklejto.pl/182176

FRST: http://www.wklejto.pl/182177

FSS (po ServicesRepair) : http://www.wklejto.pl/182180

Program ServicesRepair stworzył folder "CC Support" - można go usunąć?


(Atis) #13

Możesz skasować folder CC Support

Pobierz plik FIX:

http://sendfile.pl/96898/FIX.reg

Kliknij praym na pliku FIX i wybierz Scal.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Uruchom FRST i kliknij Fix. Później ręcznie skasuj C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind ... tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.


(Eugeniusz P) #14

Czy po tym wszystkim to już koniec będzie czy mam jeszcze jakieś logi wkleić?


(Atis) #15

Na tym koniec i nie potrzeba nowych logów.


(Eugeniusz P) #16

To świetnie. BARDZO dziękuje za pomoc. :!: