Wirus "Polizja Biuro Służby kryminalnej"

[asios5 0]

--------->>@filutka78

 

Tak, tylko raz mi wyskoczył ten obrazek.

Wykonałam Twoje instrukcje i wszystko działa OK. Mam nadzieję, że to nie nowa odmiana tego cholerstwa, tylko naprawdę nic nie mam

Dziękuję i pozdrawiam !

[filutka78 11]

--------->>@filutka78

Mam nadzieję, że to nie nowa odmiana tego cholerstwa,

To na pewno nowa odmiana.

Ale nie ma się czym przejmować skoro sama znika.

 

F.

[Mormik 0]

Witam! Mam ten sam problem wirus zaatakował mnie dwa dni temu. Co prawda nie zablokował mi komputera tylko podczas przeglądania sieci wyskoczyło mi okno z naszym kochanym Bronisławem. Zamknąłem ja jak zwykłą reklamę. Wczoraj okno znowu się pojawiło. Dodatkowo dzisiaj wiele stron internetowych nie chciało się włączyć. Dzisiaj jeszcze nic się nie pojawiło. Daje swoje logi może coś z nich wyczytacie

 

OTL: http://www.wklejto.pl/177127

 

Extras: http://www.wklejto.pl/177128

 

Dodam że raport robiłem w trybie awaryjnym z podłączeniem do sieci

[filutka78 11]

----------->@Mormik

 

Najnowsza wersja tej infekcji nie zapisuje się w komputerze, wiec nie ma co jej szukać w logach.

Natomiast prawdopodobnie jest w Tymczasowych plikach internetowych, dlatego Skrypt opróżni wszystkie foldery plików tymczasowych.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=405&q={searchTerms}

IE - HKU\S-1-5-21-2619112654-3613212280-2114847690-1001\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKU\S-1-5-21-2619112654-3613212280-2114847690-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O4 - HKU\S-1-5-21-2619112654-3613212280-2114847690-1001..\Run: [Akamai NetSession Interface] C:\Users\Mikołaj\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)

[2013/10/15 15:14:39 | 000,000,354 | ---- | M] () -- C:\Windows\tasks\ROC_JAN2013_TB_rmv.job

[2012/09/19 16:23:35 | 000,000,000 | -HSD | M] -- C:\Users\Mikołaj\AppData\Roaming\.#

[2013/03/19 22:44:43 | 000,000,000 | -HSD | M] -- C:\Users\Mikołaj\AppData\Roaming\wyUpdate AU

 

:Files

C:\Users\Mikołaj\AppData\Local\Temp*.html

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Daj z tego raport.

 

Zrób nowy log z OTL.

 

F.

[Mormik 0]

Wszystko spoko ale komputer prawdopodobnie się spalił kiedy wykonywałem skrypt nagle zasilanie padło. Tak czy inaczej dzięki za dobre chęci ale chyba kupie sobie nowy komputer ten już nie żyje

[filutka78 11]

komputer prawdopodobnie się spalił

Wspólczuję!

 

F.

[voluntaryist 0]

Serdeczna prosba o pomoc

 

http://www.wklejto.pl/177167

[filutka78 11]

---------->>@voluntaryist

 

Nie widzę wcale tu tej infekcji.

Poza tym log nie jest cały.

 

W Trybie Normalnym:

Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Daj z tego raport.

 

Potem zrób nowy log z OTL.

 

F.

[voluntaryist 0]

Adw-Cleaner: http://wklejto.pl/177191

[voluntaryist 0]

OTL po CLEANIE

 

http://wklejto.pl/177200

http://wklejto.pl/177201

http://wklejto.pl/177202

 

Alert zabezpieczen systemu Windows na czerwono swieci, antywirus nie daje sie wlaczyc.

[filutka78 11]

---------->>@voluntaryist

 

Alert zabezpieczen systemu Windows na czerwono swieci, antywirus nie daje sie wlaczyc.

Nic dziwnego: masz infekcję ZeroAcces!

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)

FF - prefs.js..browser.search.defaultengine: "Ask.com Search"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811"

FF - prefs.js..browser.search.selectedEngine: "Ask.com"

FF - prefs.js..browser.startup.homepage: "http://www.search.ask.com/?o=APN10645A&gct=hp&d=-&v=-&t=4"

FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024

FF - prefs.js..keyword.URL: "http://dts.search.ask.com/sr?src=ffb&gct=ds&appid=362&systemid=406&v=a9396-116&apn_dtid=BND406&apn_ptnrs=AG6&apn_uid=5835346242614570&o=APN10645&q="

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

[2013-09-25 20:36:40 | 000,000,000 | ---D | M] (New tab) -- C:\Users\phoenixfire\AppData\Roaming\mozilla\Firefox\Profiles\vmht1gqw.default\extensions\{A159B887-7EA3-B6C7-59EB-D1011D624DC6}

[2010-09-20 17:08:49 | 000,001,196 | ---- | M] () -- C:\Users\phoenixfire\AppData\Roaming\mozilla\firefox\profiles\vmht1gqw.default\searchplugins\winamp-search.xml

O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found

O4 - HKLM..\Run: [NPSStartup] File not found

O4 - HKU\S-1-5-21-2564444318-3475983045-2359516324-1000..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_17-windows-i586.cab (Java Plug-in 10.17.2)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.7.0_17)

O27 - HKLM IFEO\bitguard.exe: Debugger - C:\Windows\System32\tasklist.exe (Microsoft Corporation)

O27 - HKLM IFEO\bprotect.exe: Debugger - C:\Windows\System32\tasklist.exe (Microsoft Corporation)

O27 - HKLM IFEO\browserdefender.exe: Debugger - C:\Windows\System32\tasklist.exe (Microsoft Corporation)

O27 - HKLM IFEO\browserprotect.exe: Debugger - C:\Windows\System32\tasklist.exe (Microsoft Corporation)

O33 - MountPoints2\{a9367ce1-fad8-11df-8a11-001b24e39005}\Shell\AutoRun\command - "" = SVJECE\bacio.exe

O33 - MountPoints2\{a9367ce1-fad8-11df-8a11-001b24e39005}\Shell\explore\command - "" = SVJECE\\bacio.exe

O33 - MountPoints2\{a9367ce1-fad8-11df-8a11-001b24e39005}\Shell\Install\command - "" = SVJECE\\bacio.exe

O33 - MountPoints2\{a9367ce1-fad8-11df-8a11-001b24e39005}\Shell\open\command - "" = SVJECE\\bacio.exe

[2009-04-05 20:37:12 | 000,000,395 | ---- | C] () -- C:\Users\phoenixfire\AppData\Roaming\settings.ini

 

:Files

C:\Users\phoenixfire\AppData\Local\Temp*.html

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-2564444318-3475983045-2359516324-1000\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

[-HKEY_USERS\S-1-5-21-2564444318-3475983045-2359516324-1000\Software\Microsoft\Internet Explorer\SearchScopes\{E6BDB6B2-7134-4CF5-A4C6-E500C56C45BC}]

[-HKEY_USERS\S-1-5-21-2564444318-3475983045-2359516324-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EA57CEE2-E011-4191-AB1A-6A049558FB54}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

(ponieważ raport będzie zbyt długi, to usuń z niego wszystkie linijki podobne do tej:

[2010-12-14 20:05:47 | 000,002,432 | ---- | C] () -- C:\Users\phoenixfire\AppData\Local\TempPe3136.html)

 

2) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

3) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

4) Zrób nowy log z OTL.

 

F.

[voluntaryist 0]

Nie wiem czy wszystko poszlo ok, bo sie przywiesilo i jeszcze raz wrzucilem wykonywanie skryptu. Raport:

 

http://wklejto.pl/177264

[voluntaryist 0]

Ad 2) Byl tylko jeden raport, po kliknieciu na Podsumowanie:

 

http://wklejto.pl/177274

 

3) http://wklejto.pl/177275

[filutka78 11]

---------->>@voluntaryist

 

Jakiś dziwny ten ZeroAcces u Ciebie: nie wyrządził żadnych szkód w Systemie.

Pierwszy raz spotykam się z taką sytuacją.

 

Daj jeszcze nowy log z OTL.

 

F.

[voluntaryist 0]

4) http://wklejto.pl/177295

[filutka78 11]

---------->>@voluntaryist

 

Na samym dole logu są jakieś chińskie obiekty - znasz je?

 

Poza tym - nic podejrzanego.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

FSS -=usuń ręcznie.

Rogue Killer - usuń ręcznie.

 

F.

[voluntaryist 0]

Nie znam tych chinskich obiektow, wywale na wszelki wypadek.

 

Serdeczne dzieki za pomoc

[voluntaryist 0]

By the way, co Ty z tego masz ze tak pomagasz ludziom?

 

Masz adres bitcoinowy?

[filutka78 11]

co Ty z tego masz ze tak pomagasz ludziom?

 

Masz adres bitcoinowy?

Ad.1 - satysfakcję

Ad.2 - nie

[barbs 2]

czytałam o tym wirusie, jeśli szukasz jakiegoś dobrego antywira to mogę polecić albo Gdata albo kasperskiego, cenowo chyba g data trochę taniej wypada

[Korona17 0]

Witam! Dziś rano i mnie dopadł ten wirus. Z początku przestraszyłem się, jednak gdy zauważyłem błąd w wyrazie 'Policja' od razu wszystko wygooglowałem na drugim komputerze. Moje przypuszczenia się sprawdziły - to wirus. Czytałem tu o różnych OTL itp ale jestem totalnie zielony w tych sprawach. Uruchomiłem win 7 w trybie awaryjnym z wierszem, wpisałem całe to H(dysk mojego pendriva):]OTL.EXE, zapisalem i nic. Jak uruchomilem komputer normalnie - od razu biały ekran z Bronkiem, tak samo awaryjny z siecią. Mógłby mi ktoś pomóc i powiedziec jak ogarnąc ten OTL, aby pozniej tu wkleic i aby ktos(ponownie) mi pomogl?

[filutka78 11]

Witam! Dziś rano i mnie dopadł ten wirus. Z początku przestraszyłem się, jednak gdy zauważyłem błąd w wyrazie 'Policja' od razu wszystko wygooglowałem na drugim komputerze. Moje przypuszczenia się sprawdziły - to wirus. Czytałem tu o różnych OTL itp ale jestem totalnie zielony w tych sprawach. Uruchomiłem win 7 w trybie awaryjnym z wierszem, wpisałem całe to H(dysk mojego pendriva):]OTL.EXE, zapisalem i nic. Jak uruchomilem komputer normalnie - od razu biały ekran z Bronkiem, tak samo awaryjny z siecią. Mógłby mi ktoś pomóc i powiedziec jak ogarnąc ten OTL, aby pozniej tu wkleic i aby ktos(ponownie) mi pomogl?

1) powinno być H:\OTL.exe

2) odłącz internet (kabelek), i spróbuj w Trybie Awaryjnym zrobić logi normalnego OTL.

 

F.

[Korona17 0]

wpisałem dobrze H:\OTL.exe i nadal nic, router wylaczylem i rowniez nie pomoglo. Moze ktos inny?

[parker1990 0]

Witam mam ten asam problem co poprzednicy prosze o pomoc

 

Mój link Extras

 

 

Mój link OTL

[filutka78 11]

--------->>@parker1990

 

Nie masz żadnej infekcji, wiec domyślam się, że komunikat "Polizji" pokazał się tylko raz.

Tak działa najnowsza wersja tej infekcji, pokazuje się tylko raz, a po zamknięciu komunikatu infekcja niszczy samą siebie.

 

Masz sponsorskie śmieci, więc:

1) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Daj z tego raport.

 

2) Zrób nowy log z OTL.

 

F.