Włamanie na komputer

Cachero1 · 28 Czerwiec 2012 17:14

Witam,

Mój kumpel miał włamanie na komputer. Nie wiem jak to się objawiło, ale po krótkiej chwili na jego kompie pojawił się folder z niedozwolonymi zdjęciami, filmikami, wirusami itd. Było tego ogólnie 4 GB. Kolega usunął ten folder wraz z zawartością oprócz tego na skype gościu zdążył powysyłać ten folder do osób, które były akurat online. Powiedział im, żeby tego nie odbierali. Miał spokój na parę dni przez ten czas chyba nic nie zrobił by zabezpieczyć swój komputer przed czymś takim. I teraz na pulpicie wyskoczył mu komunikat cały biały (z czerwonymi paskami po bokach po obu stronach). Z następującą treścią:

Ten komputer został zablokowany.

Komputer został zablokowany przez system automatycznej kontroli informacyjnej. (Nie wiem czy takie coś istnieje).

Dlaczego?

To mogło nastąpić wskutek jednej z następujących przyczyn:

Ten komputer był używany w celu odtworzenia zakazanych stron internetowych.
Ten komputer był używany w celu odtworzenia stron internetowych, zawierających elementy pornografii dziecięcej.

3.Ten komputer był używany w celu przekazania informacji zakazanej.

Ten komputer był używany w celu przechowywania/odtwarzania kontektu niecertyfikowanego.

Jak to naprawić?

Według przepisu z “kontroli informacyjnej oraz zabezpieczenia informacji” z dnia 02.01.2012 jest Pan(i) zobowiązany(a) do zapłaty kary w wysokości 100 EURO. W celu ułatwienia procesu płatności udzielamy zabezpieczonej formy płatności za pomocą voucherów Ukash. Wystarczy kupić voucher(y) o wartości 100 EURO, wpisać je do formy płatności po czym kliknąć “Wysłać kod”.

Co nastąpi po wpisaniu kodu?

Po sprawdzeniu kodu przez nas system komputer zostanie odblokowany natychmiast.

I teraz moje pytanie czy to jakiś haker wbił się jemu na kompa, czy to rzeczywiście ten przepis z 02.01.2012 go złapał.

I jeśli to ta pierwsza możliwość to czy od razu robić format.

Proszę o szybką odpowiedz.

Atis · 28 Czerwiec 2012 17:17

Pokaż logi z OTL na wklej.org.

http://www.cert.pl/news/5483

Cachero1 · 28 Czerwiec 2012 17:20

A własnie zapomnialem dopisać…nic nie można zrobić. Ten biały ekran jest i nie można go usunąć.

Fix00ser · 28 Czerwiec 2012 17:31

może kolega trafił na inną odmianę tego robaka

klick

Atis · 28 Czerwiec 2012 17:32

Spróbuj w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny lub awaryjny z obsługą sieci.

Cachero1 · 28 Czerwiec 2012 18:16

W trybie awaryjnym to samo. Formata walnąć?

Atis · 28 Czerwiec 2012 18:53

Można wykorzystać FRST lub OTLPE:

http://www.fixitpc.pl/topic/4414-diagno … h-windows/

Cachero1 · 30 Czerwiec 2012 10:42

Raport z OTL

http://wklej.org/id/781927/ Extras.Txt

http://wklej.org/id/781929/ OTL.Txt

Atis · 30 Czerwiec 2012 10:57

W panelu sterowania odinstaluj YouTube Downloader Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\SearchScopes{2B7047CB-9218-4C3C-8E0D-90B9EBEFC100}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SUPL&apn_uid=ABC4C6BF-1A8A-486F-B606-CD475C0F6B69&apn_sauid=E3E2BCC4-1393-464D-B7FD-E8B4CFCE8976 IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 [2012-03-10 22:00:02 | 000,000,000 | —D | M] (uTorrentControl2 Community Toolbar) – C:\Users\Ola\AppData\Roaming\mozilla\Firefox\extensions{687578b9-7132-4a7a-80e4-30ee31099e03} O4:64bit: - HKLM…\Run: [taskmsr] C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKLM…\Run: [Microsoft Firevall Engine] c:\windows\iqs.exe File not found O4 - HKLM…\Run: [Windows Login access] C:\Users\Ola\AppData\Roaming\web2net.exe File not found O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\Run: [EA Core] “C:\Program Files (x86)\Electronic Arts\EADM\Core.exe” -silent File not found O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\Run: [Microsoft Firevall Engine] c:\windows\iqs.exe File not found O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\Run: [PlayNC Launcher] File not found O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\Run: [taskmsr] C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000…\Run: [uTorrent] “D:\utorrent\uTorrent.exe” /MINIMIZED File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe) - C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe () [2012-06-27 23:05:17 | 000,000,000 | RHSD | C] – C:\Users\Ola\AppData\Roaming\taskmsr [2012-06-26 23:18:59 | 000,000,000 | —D | C] – C:\Users\Ola\P-7-78-8964-9648-3874 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Users\Ola\P-7-78-8964-9648-3874\windll.exe”=- “c:\windows\iqs.exe”=- “C:\Users\Ola\P-7-78-8964-9648-3874\windll.exe”=- “c:\windows\iqs.exe”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Cachero1 · 30 Czerwiec 2012 11:48

Raport z usuwania:

http://wklej.org/id/781965/

– Dodane 30.06.2012 (So) 14:02 –

Raporty z OTL:

http://wklej.org/id/781973/ Extras.Txt

http://wklej.org/id/781975/ OTL.Txt

Atis · 30 Czerwiec 2012 12:13

Wklej i klikni Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania.

Aby usunąć wszystkie punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Cachero1 · 30 Czerwiec 2012 12:34

Raport z SecurityCheck

Results of screen317’s Security Check version 0.99.42

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

Antivirus/Firewall Check:

Lavasoft Ad-Aware

Antivirus up to date!

Anti-malware/Other Utilities Check:

Ad-Aware

Java 6 Update 26

Java version out of Date!

Adobe Flash Player 10 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Google Chrome 19.0.1084.52

Google Chrome 19.0.1084.56

Google Chrome plugins…

Process Check: objlist.exe by Laurent

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

Ad-Aware Antivirus AdAwareService.exe

Ad-Aware Antivirus SBAMSvc.exe

System Health check

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

Atis · 30 Czerwiec 2012 12:39

W panelu sterownaia odinstaluj:

Java 6 Update 26

Adobe Reader 9

Adobe Flash Player 10

Później zainstaluj:

http://www.dobreprogramy.pl/Adobe-Reade … 11539.html

http://www.dobreprogramy.pl/Java-SE,Pro … 13186.html

http://helpx.adobe.com/pl/flash-player.html

Cachero1 · 30 Czerwiec 2012 13:26

Raport z Malwarebytes Anty-Malware:

http://wklej.org/id/782013/

– Dodane 30.06.2012 (So) 15:37 –

Zrobiłem już wszystko co napisałeś.

Atis · 30 Czerwiec 2012 18:35

Zmień wszystkie hasła logowania i to wszystko.