Wirus "Polizja Biuro Służby kryminalnej"

[ESTE 0]

Cześć, mnie też to dziadostwo dopadło i nie wiem skąd. Format robiony raptem miesiąc temu. Ładnie proszę o pomoc.

 

OTL.txt

http://wklej.org/id/1429383/

 

Extras.txt

http://wklej.org/id/1429384/

[filutka78 11]

----------------->>@ESTE

 

Nic tu nie wskazuje na istnienie jakiejkolwiek infekcji.

Albo usunął ją ComboFix lub MBAM, albo miałeś ostatnią wersję infekcji, która niszczy samą siebie.

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKLM..\Run: [] File not found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

F.

[mati218 0]

Witam powiadam ten sam problem pomocy!! Www.wklaj.org/id/1430386 OTL. Www.wklaj.org/id/1430387 Extras.

[filutka78 11]

---------------->>mati218

 

Nic tu nie wskazuje na istnienie jakiejkolwiek infekcji.

Czy przypadkiem nie korzystasz z zarażonego routera?

 

Inne śmieci:

1) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

 

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2014-08-01 13:51:30 | 000,000,392 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_0414c_rmv.job

[2014-08-01 13:51:29 | 000,000,392 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_0414c_rel.job

[2014-07-25 12:13:13 | 000,045,248 | ---- | M] (Elex do Brasil Participações Ltda) -- C:\Windows\SysNative\drivers\iSafeKrnlBoot.sys

[2014-07-31 22:47:47 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\iSafe

[2014-07-31 22:48:02 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\eCyber

O37 - HKU\S-1-5-21-1116139726-2658843063-485087460-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found

O4 - HKU\S-1-5-21-1116139726-2658843063-485087460-1001..\Run: [AVG-Secure-Search-Update_0414c] C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe ()

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C5CD1E0F-1634-470E-AE9A-79B3CCBC2AA1}]

"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C5CD1E0F-1634-470E-AE9A-79B3CCBC2AA1}]

"NameServer"="8.8.8.8"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"DhcpNameServer"="8.8.8.8"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1116139726-2658843063-485087460-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[mati218 0]

Co zrobić jeżeli rooter jest zainfekowany??

 

Proszę raport z Adwcleaner www.wklej.org/id/1430400

[filutka78 11]

----------------->>@mati218

 

wróć do mojego poprzedniego postu

 

F.

[mati218 0]

Wyniki OTL: www.wklej.org/id/1430418

 

Narazie wszystko działa dobrze. Dzięki za pomoc.

[filutka78 11]

Na razie wszystko działa dobrze. Dzięki za pomoc.

W takim razie możemy kończyć:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[ja14357 0]

U znajomych pojawił się ten problem.

Sformatowałem cały dysk -zainstalowałem specjalnie linuxa i zgasiło mnie bo nadal insekt jest i nadal szkodzi :D

Gdzie to siedzi w routerze czy w dysku czy w BIOSie ?

Dlaczego nie przeszkodziła mu zmiana systemu plików ?

 

Jeżeli chodzi o treści OLT to każdy musi wkleić "coś" na podstawie swojego raportu czy ta sama treść działa u każdego ?

Wyleczę tylko z poziomu windowsa instalując wskazane aplikacje ?

Lepiej nie podłączać drugiego kompa pod ta samą sieć ?

[filutka78 11]

Najnowsza wersja tej infekcji działa poprzez router, więc jeśli masz router, to go zresetuj.

Jeśli nie wiesz jak, ro skontaktuj się ze swoim dostawcą internetu.

 

F.

[ja14357 0]

A jak z innymi wersjami ? Gdzie one siedzą ?

Nowy system oraz reset routera bez wgrywania oprogramowania pomoże ?

 

Nie trzeba wgrywać nowego oprogramowania do routera ?

Jak ten insekt / wirus się nazywa ?

[filutka78 11]

A jak z innymi wersjami ? Gdzie one siedzą ?

Było wiele wersji tej infekcji, więc wymienienie wszystkich obiektów zajęłoby kilka stron.

 

Nowy system oraz reset routera bez wgrywania oprogramowania pomoże ?

 

Nie trzeba wgrywać nowego oprogramowania do routera ?

Nie jestem specjalistką od routerów, więc wolę się na ten temat nie wypowiadać.

 

Jak ten insekt / wirus się nazywa ?

Najbardziej ta infekcja jest znana jako WEELSOF, choć późniejsze wersje otrzymywały już inną nazwę (np.URAUS).

Pewnie ta najnowsza wersja też otrzyma nową nazwę.

 

F.

[bartek392 0]

Hej,

 

Dzisiaj podczas wchodzenia na stronę z bramką proxy, wyświetlił mi się ten wirus w nowym oknie.

Nic nie dotykałem, w ciągu 3 sekund wyłączyłem przyciskiem laptopa.

Odłączyłem natychmiast intenet i router po włączeniu laptopa : pierwszy raz (bez połaczania sie z internetem) wszystko działało poprawnie ; za drugim razem (łącząć się z internetem) również wirus się NIE wyświetlił.

 

Co mam dalej robić? Dodam że zupełnie, w ogóle nie znam się na tych sprawach.

 

Proszę o pomoc!

[Miszel03 0]

---------->bartek392

 

Hej,

 

Dzisiaj podczas wchodzenia na stronę z bramką proxy, wyświetlił mi się ten wirus w nowym oknie.

Nic nie dotykałem, w ciągu 3 sekund wyłączyłem przyciskiem laptopa.

Odłączyłem natychmiast intenet i router po włączeniu laptopa : pierwszy raz (bez połaczania sie z internetem) wszystko działało poprawnie ; za drugim razem (łącząć się z internetem) również wirus się NIE wyświetlił.

 

Co mam dalej robić? Dodam że zupełnie, w ogóle nie znam się na tych sprawach.

 

Proszę o pomoc!

 

Przy tej infekcji nie dochodzi do właściwego zainfekowania systemu, odbywa się to za pośrednictwem JavaScripty

 

Sprawdzę jeszcze logi

 

Wrzuć logi z programu FRST

 

Instrukcja:

http://forum.pclab.pl/topic/893302-WAŻNE-Wymagane-logi-systemowe-w-tym-dziale/

 

(Patrz na FRST)

[bike3r 0]

Witam serdecznie i prosze o ratunek, Czasami komputer długo się włącza.

OTL http://www.wklej.org/id/1483746/

EXTRAS http://www.wklej.org/id/1483747/

 

FRST http://www.wklej.org/id/1483750/

Addition http://www.wklej.org/id/1483751/

[filutka78 11]

----------------->>@bike3r

 

Nie widzę tu żadnej infekcji.

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-2811696164-131114364-1577368660-1000\...\Run: [ASRockOCTuner] => [X]

HKU\S-1-5-21-2811696164-131114364-1577368660-1000\...\Run: [zASRockInstantBoot] => [X]

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij przycisk Fix.

 

F.

[bike3r 0]

zrobiłem tak jak napisałeś.

po 10sek. od zrobienia 'Fixa' wyskoczyło mi teraz na mozilli "polyzja". wczoraj skanowany komp esetem, malware nic nie wykryło.

teraz ściągnąłem microsoft security essentials, zobaczymy co znajdzie.

 

jeszcze nie skanowałem adwcleaner..

[filutka78 11]

jeszcze nie skanowałem adwcleaner..

Adw-Cleaner nie ma nic do tej infekcji, na pewno nie wykryje.

 

Ewentualnie możesz przeinstalować Firefoxa, skoro to tylko w nim pojawia się "polizja".

 

F.

[bike3r 0]

wczoraj na operze a dzisiaj firefox.

komputer normalnie działa, mogę wszystko robić na nim.

 

czy polizja może zbierać informacje z komputera? hasła,loginy do banku? czy użytkowanie komputera jest bezpieczne?

[filutka78 11]

czy polizja może zbierać informacje z komputera? hasła,loginy do banku? czy użytkowanie komputera jest bezpieczne?

Nie, ta infekcja służy tylko do wyłudzenia pieniędzy od naiwnych Użytkowników, i nic więc na komputerze nie robi.

 

F.

[bike3r 0]

dobrze wiedzieć.

 

teraz mam taki problem że dziewczyny HTC z androidem zostal zarazony chyba przez WiFi(internet działał LTE 5minut wcześniej normalnie, dopiero po połączeniu sie z WiFi wyskoczyła polizja)

[leven 900]

Jakieś dwa tygodnie w stecz, nagle przy surfowaniu wyskoczyła mi stronka z wiadomością, że jestem oszustem i muszę zapłacić 500zł kary natychmiast i naczej pójdę do więzienia.

 

Normalnie mnie zatkało

 

Zignorowałem ten jakże piękny komunikat, zresetowałem przeglądarkę i jak na razie spokój.

 

Takiego syfu w internecie jest pełno, dla tego nie zwracajcie na to uwagi, a jak Was będzie taki lub podobny komunikat prześladował, zgłoście to na Policję (zapiszcie adrest strony).

[fercart 0]

Witam, mam problem z tym wirusem. Po uruchomieniu win7 okienko wirusa wymusza pozycje i nic nie można zrobić, jedyne co to ctrl+alt+del i reset. Menedżer nie działa. Wszedłem w tryb awaryjnny i ogarnąłem OTL'a;

OTL: http://wklej.org/id/1496575/

extras: http://wklej.org/id/1496576/

Za pomoc byłbym wdzięczny

[filutka78 11]

===============>>@fercart

Nie widzę tu tej infekcji.

A może używasz zarażonego routera?

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2014-10-23 15:58:53 | 000,043,688 | ---- | C] (Elex do Brasil Participações Ltda) -- C:\Windows\System32\drivers\iSafeNetFilter.sys

[2014-10-23 15:10:30 | 000,000,816 | ---- | M] () -- C:\Users\Dodo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

 

F.

[fercart 0]

Mam Liveboxa, ale póki co uruchomiłem tryb normalny i śmiga.. dzięki wielkie!