Wirus "policyjny" ukash

Dla specjalistów Bezpieczeństwo
#1

Witam, komputer blokowany jest oknem z ostrzeżeniem “cyberpolicji”.

#2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

#3

http://www.wklej.org/id/1358106/

#4

Otwórz Notatnik i wklej:

HKU\S-1-5-21-2818325743-2636269356-3867468771-1001\...\Winlogon: [Shell] explorer.exe, ==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
S2 Winmgmt; C:\PROGRA~3\2992199F9A\h4cl.faa [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST

#5

Niestety problem nadal występuje, po restarcie pojawiło sie okno: Czy chcesz zezwolić następującemu programowi na wprowadzenie zmian na komputerze. Proces hosta  Systemu Windows (Rundl32).

Jeśli kliknę “nie”, nie można wejśc do systemu, po kliknięciu “tak” pojawia się blokujące okno policyjne.

#6

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
[2014-05-11 01:09:07 | 000,000,000 | ---D | C] -- C:\ProgramData\2992199F9A

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl

#7

W logach widać szkodliwe skróty w autostarcie.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7tlf1lfgr.lnk
ShortcutTarget: 7tlf1lfgr.lnk -> C:\ProgramData\2992199F9A\rgfl1flt7.cpp (Schlumberger Technology Corporation)
Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\h4cl.lnk
ShortcutTarget: h4cl.lnk -> lc4h.dll,work (No File)
C:\ProgramData\2992199F9A

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#8

http://www.wklej.org/id/1358217/

#9

Skasuj folder C:\FRST

Odinstaluj:

Kaspersky Security Scan 2.0

Java 7 Update 21

JavaFX 2.1.1

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader XI

Microsoft Silverlight

Zainstaluj:

Adobe Reader XI 11.0.6

Flash Player 13.0.0.206 Internet Explorer i Plugin-based browsers.

Silverlight 5.1.30214.0

Firefox 29

Internet Explorer 11

#10

Wielkie dzięki za pomoc, problemy chyba rozwiązane.