Wirus "Polizja Biuro Służby kryminalnej"

[seto82 0]

Witam!

Podpinam się pod temat, złapałem dzisiaj tego samego wirusa. W trybie awaryjnym wszedłem jako admin i dalej nie wiem co robić proszę o pomoc.

 

 

 

 

 

OTL.Txt

 

Extras.Txt

[DillGang 1]

Zrób także wymagany log z FRST. Umieść w następnym poście.

---

1. Uruchom OTL i w pole Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=306&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2254055270214060&q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Basia\ctfmon.exe) - C:\Documents and Settings\Basia\ctfmon.exe ()
:Files
C:\Documents and Settings\Basia\ctfmon.exe
:Commands
[emptytemp]

Dla innych czytających - skrypt dopasowany tylko pod ten system, proszę go nie używać na swoich maszynach .

Wciśnij Wykonaj skrypt . Nastąpi restart komputera. Spróbuj się zalogować do Windows.

 

Jeśli się uda, to zrób logi z OTL i FRST, jeśli dalej będzie Ukash, to i tak zrób nowe logi .

[seto82 0]

OTL.Txt

 

Mój link

[filutka78 11]

----------->>@seto82

 

W tych logach nie widzę żadnej infekcji.

Są sponsorskie śmieci, ale tym zajmiemy się później.

 

Daj logi z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/

 

F.

[seto82 0]

http://www.wklej.org/id/1133240/dl/

[DillGang 1]

Skrypt z OTL się nie udał, nie powtarzaj go. Dostarcz log z FRST .

[seto82 0]

All processes killed

Error: Unable to interpret <IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=306&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2254055270214060&q={searchTerms}> in the current context!

Error: Unable to interpret <O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.> in the current context!

Error: Unable to interpret <O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.> in the current context!

Error: Unable to interpret <O4 - HKLM..\Run: [] File not found> in the current context!

Error: Unable to interpret <O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Basia\ctfmon.exe) - C:\Documents and Settings\Basia\ctfmon.exe ()> in the current context!

========== FILES ==========

File\Folder C:\Documents and Settings\Basia\ctfmon.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33236 bytes

 

User: Basia

->Temp folder emptied: 921733 bytes

->Temporary Internet Files folder emptied: 290882 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->FireFox cache emptied: 17186193 bytes

->Flash cache emptied: 0 bytes

 

User: Gość

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 8405015 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 26,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 09192013_182203

 

Files\Folders moved on Reboot...

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

[DillGang 1]

Ja potrzebuję log z FRST, a nie OTL .

[seto82 0]

OTL.Txt

[asiczka1983 0]

OTL http://www.wklej.org/id/1135606/

 

EXTRAS http://www.wklej.org/id/1135616/

[filutka78 11]

--------->>@asiczka1983

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

SRV - [2013-09-10 16:35:26 | 002,845,152 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe -- (BitGuard)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

[2013-09-23 09:29:55 | 000,000,282 | ---- | M] () -- C:\WINDOWS\tasks\EPUpdater.job

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób logi z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

 

F.

[Graba09 0]

Witam posiadam ten sam problem, ale jestem zupełnie zielony w tej sprawie i nie wiem jak to naprawić, sciągnełem program OTL wrzuciłem na pendrive odpalam z wiersza poleceń i co dalej?

Proszę o odpowiedź.

[filutka78 11]

sciągnełem program OTL wrzuciłem na pendrive odpalam z wiersza poleceń i co dalej?

Nie rozumiem, o co Ci chodzi.

 

F.

[mysteriis 0]

Dobry wieczór!

 

Ogromnie się cieszę, że trafiłem to to forum.

Uprzejmie proszę o pomoc.

OTL.Txt

Extras.Txt

[filutka78 11]

--------------->>>@mysteriis

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKU\S-1-5-21-1177238915-1767777339-839522115-1003 Winlogon: Shell - (C:\Documents and Settings\Michał\Dane aplikacji\cache.dat) - C:\Documents and Settings\Michał\Dane aplikacji\cache.dat ()

[2013-09-24 00:49:53 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\cache.ini

SRV - File not found [Disabled | Stopped] -- C:\lich.exe -- (ZZZsvc_lich)

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\dllcache\ivchost.exe -- (mshexdefx)

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\irdvxc.exe /service -- (MSDisk)

SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\w3ssl.dll -- (httpfilter)

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\dllcache\mravsc32.exe -- (Distributed Allocated Memory Unit)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\lich.sys -- (ZZZdrv_lich)

DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\yeTyezzd.sys -- (yeTyezzd)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\tiacxln.sys -- (TIACXLN)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Core Center\RushTop.sys -- (RushTopDevice)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Core Center\NTGLM7X.sys -- (PCAlertDriver)

DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Michał\Pulpit\bios 1.90\Memctl.sys -- (Memctl)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ip6fw.sys -- (ip6fw)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Michał\Pulpit\bios 1.90\HwIOctl.sys -- (HwIOctl)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\ewusbmdm.sys -- (hwdatacard)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\HTTP.sys -- (http)

DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)

DRV - File not found [Kernel | Boot | Stopped] -- System32\DRIVERS\ElbyVCD.sys -- (ElbyVCD)

O2 - BHO: (no name) - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - No CLSID value found.

O2 - BHO: (no name) - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - No CLSID value found.

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.

O3 - HKU\S-1-5-21-1177238915-1767777339-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.

O3 - HKU\S-1-5-21-1177238915-1767777339-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\S-1-5-21-1177238915-1767777339-839522115-1003\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.

O3 - HKU\S-1-5-21-1177238915-1767777339-839522115-1003\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O4 - HKU\.DEFAULT..\Run: [Windows Service Agent] angelo.exe File not found

O4 - HKU\S-1-5-18..\Run: [Windows Service Agent] angelo.exe File not found

O4 - HKLM..\RunServices: [ANTEVlRUS Online] jdlhesefn.exe File not found

O4 - HKLM..\RunServices: [win32 internet server] c:\windows\system32\winserver.exe File not found

O4 - HKLM..\RunServices: [Windows Service Agent] angelo.exe File not found

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm490YYPL File not found

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15-3.exe (Reg Error: Key error.)

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)

O16 - DPF: {cafeefac-0014-0002-0005-abcdeffedcba} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.

 

2) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowy log z OTL.

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

Windows XP Professional Edition Dodatek Service Pack. 1

Twój System już od bardzo dawna nie jest chroniony, ma zbyt wiele dziur.

Możesz zainstalować Service Pack 3 stąd http://www.dobreprogramy.pl/Windows-XP-PL-Service-Pack,Program,Windows,12243.html , a potem zainstalować wszystkie łatki, które wydał Microsoft przez kilkanaście ostatnich lat.

Problemem jest tylko to, że na Twoim dysku jest bardzo mało wolnego miejsca, po zainstalowaniu Service Pack 3 nie będziesz miał w ogóle wolnego miejsca na dysku.

 

F.

[asiczka1983 0]

nie moge ściągnąc FRST:( co mam zrobic?

[filutka78 11]

nie moge ściągnąc FRST:( co mam zrobic?

jaki komunikat się pokazuje przy próbie ściągniecia?

 

F.

[mysteriis 0]

Filutka78

 

Dziękuję za pomoc!

Wykonałem krok pierwszy, po restarcie systemu pojawił się raport. Nie wiem, czy zdążyłem go zapisać, ponieważ ponownie wyskoczyło okno wirusa POLIZJA.

 

Komputera nie restartowałem ponownie.

Co robić dalej?

 

pozdrawiam,

Michał

[filutka78 11]

-------------->>@mysteriis

 

zrób nowy log z OTL.

 

F.

[mysteriis 0]

Filutka78

 

Poniżej dwa pliki raportów z OTL

 

Nie bardzo rozumiem też, co dokładnie zrobić z tym ADWCleanerem. Co uznacza z opcji usuń (uninstall w samym oknie programu?);

 

pozdrawiam,

Michał

OTL.Txt

Extras.Txt

[filutka78 11]

------------->>@mysteriis

 

co dokładnie zrobić z tym ADWCleanerem. Co uznacza z opcji usuń (uninstall w samym oknie programu?);

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Opcja USUŃ służy do usuwania infekcji, natomiast opcja Uninstall służy do odinstalowania samego Adw-Cleaner'a (to podam na końcu)

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Michał\Dane aplikacji\cache.dat) - C:\Documents and Settings\Michał\Dane aplikacji\cache.dat ()

[2013-09-24 11:11:00 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\cache.ini

IE - HKCU\..\URLSearchHook: - No CLSID value found

IE - HKCU\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - No CLSID value found

IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found

IE - HKCU\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - No CLSID value found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Użyj Adw-Cleaner (z opcji USUŃ) (SKAN - CLEAN)

 

Zrób nowy log z OTL

 

F.

[mysteriis 0]

Filutka78

 

Niestety, przy kolejnej próbie restartu pojawia się po raz kolejny okno wirusa.

Rozumiem, że jestem totalnym ignorantem w świecie komputerów, dlatego napiszę, co robię po kolei.

Uprzejmie proszę o cierpliwość w stosunku do mnie.

 

Przez F8 wchodzę do trybu z wierszem polecenia

Wykonuję skanowanie

Nie wyłączając komputera czekam na skrypt od Ciebie

Kopiuję skrypt i wykonuję go

Restartuję komputer w normalnym trybie, zgodnie z poleceniem OTL

Po zalogowaniu się do systemu próbuję zapisać raport, ale nie nadążam - ponownie pojawia się okno wirusa.

 

Na wszelki wypadek ponownie wykonałem raport OTL

OTL.Txt

Extras.Txt

[filutka78 11]

----------->>@mysteriis

 

Z logów wynika, że usuwanie Skryptem udało się, ale pomimo tego infekcja dalej jest.

 

Spróbuj zrobić log z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087 (bez Addition)

 

F.

[mysteriis 0]

Wzchodzi moja indolencja komputerowa - ściągnąłem obie wersje FRST - wpisując w wierszu polecenia I:\FRST64.exe pojawia się komunikat, że takiego pliku WIN32 nie obsługuje. Natomiast po wspisaniu tej samej komendy w formacie 32 pojawia się odpowiedź "nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wzkonywalnz lub plik wsadowy".

[filutka78 11]

---------->>@mysteriis

 

Trudno, w takim razie

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Michał\Dane aplikacji\cache.dat) - C:\Documents and Settings\Michał\Dane aplikacji\cache.dat ()

[2013-09-24 11:46:48 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\cache.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

Powtarzaj to dotąd, aż w nowym logu nie będzie tych dwóch linijek:

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Michał\Dane aplikacji\cache.dat) - C:\Documents and Settings\Michał\Dane aplikacji\cache.dat ()

[2013-09-24 11:46:48 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\cache.ini

 

Nic tu innego nie wymyślę, bo skoro nie znasz się na komputerach, to nie wchodzi w grę uruchomienie FRST ze środowiska zewnętrznego.

 

F.