Trojan.ransom udający policję

[piotrus81]

Witam.
Potrzebuję pomocy - system operacyjny został zainfekowany (jak wygoole'owalem) wirusem trojan.ransom, podszywającym się pod policję. Komputer zablokowany jest zarówno w trybie normalnym, awaryjnym jak i awaryjnym z obsługą sieci. Jedynie w "trybie awaryjnym z wierszem poleceń" można cokolwiek zrobić.
System zeskanowałem poniższymi narzędziami. Zamiast TDSSKiller'a próbowałem użyć gmer'a, jednakże dwukrotnie podczas skanowanie komputer zawiesił się całkowicie (na różnych etapach skanowania); za trzecim razem natomiast w trakcie skanowania nastąpił restart systemu. Dodam, że TDSSKiller po skanowaniu wyświetlił informację, że niczego nie znaleziono Jeżeli potrzebny byłby jeszcze jakiś skan - poproszę o jakąś sugestię, jakiego narzędzia użyć
Załączam logi.

OTL
OTL.txt http://www.wklej.eu/index.php?id=7aa84ecfac
Extras.txt http://www.wklej.eu/index.php?id=7d4ea29946

TDSSKiller
http://www.wklej.eu/index.php?id=1a97482224

Z góry dziękuję za wszelką okazaną mi pomoc.

[mateo8898]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O4 - HKLM..\Run: [eekyanvdnqhdaoh] C:\Documents and Settings\All Users\Dane aplikacji\eekyanvdnqhdaohrclhk.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O20 - Winlogon\Notify\rpcc: DllName - (C:\WINDOWS\system32\rpcc.dll) -  File not found
O20 - Winlogon\Notify\rpccd: DllName - (C:\WINDOWS\system32\rpccd.dll) - C:\WINDOWS\system32\rpccd.dll ()
[2012-05-18 10:37:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\phggkreiilekkph
[2012-05-18 10:38:10 | 000,000,268 | -H-- | M] () -- C:\sqmdata06.sqm
[2012-05-18 10:38:10 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt06.sqm
[2012-05-18 10:37:26 | 000,000,448 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\rxgrhrxzqzqpwzv
[2012-05-18 10:37:20 | 000,057,344 | ---- | M] () -- C:\WINDOWS\explorer_new.exe
[2012-05-18 10:37:20 | 000,057,344 | ---- | M] () -- C:\WINDOWS\eekyanvdnqhdaohrclhk.exe
[2012-05-18 10:37:20 | 000,057,344 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\eekyanvdnqhdaohrclhk.exe
[2012-05-17 20:18:10 | 000,000,268 | -H-- | M] () -- C:\sqmdata05.sqm
[2012-05-17 20:18:10 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm
[2012-05-16 21:45:55 | 000,000,268 | -H-- | M] () -- C:\sqmdata04.sqm
[2012-05-16 21:45:55 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt04.sqm
[2012-05-16 13:25:48 | 000,000,268 | -H-- | M] () -- C:\sqmdata03.sqm
[2012-05-16 13:25:48 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt03.sqm
[2012-05-15 23:15:54 | 000,000,268 | -H-- | M] () -- C:\sqmdata02.sqm
[2012-05-15 23:15:54 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt02.sqm
[2012-05-14 21:31:58 | 000,000,268 | -H-- | M] () -- C:\sqmdata01.sqm
[2012-05-14 21:31:58 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt01.sqm
[2012-05-14 17:52:51 | 000,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
[2012-05-14 17:52:51 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2012-05-14 11:10:10 | 000,000,268 | -H-- | M] () -- C:\sqmdata19.sqm
[2012-05-14 11:10:10 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt19.sqm
[2012-05-13 21:45:58 | 000,000,268 | -H-- | M] () -- C:\sqmdata18.sqm
[2012-05-13 21:45:58 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt18.sqm
[2012-05-13 16:25:19 | 000,000,268 | -H-- | M] () -- C:\sqmdata17.sqm
[2012-05-13 16:25:19 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt17.sqm
[2012-05-12 22:30:15 | 000,000,268 | -H-- | M] () -- C:\sqmdata16.sqm
[2012-05-12 22:30:15 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt16.sqm
[2012-05-12 19:20:52 | 000,000,268 | -H-- | M] () -- C:\sqmdata15.sqm
[2012-05-12 19:20:52 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt15.sqm
[2012-05-11 20:26:34 | 000,000,268 | -H-- | M] () -- C:\sqmdata14.sqm
[2012-05-11 20:26:34 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt14.sqm
[2012-05-11 12:22:28 | 000,000,268 | -H-- | M] () -- C:\sqmdata13.sqm
[2012-05-11 12:22:28 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt13.sqm
[2012-05-11 12:17:26 | 000,000,268 | -H-- | M] () -- C:\sqmdata12.sqm
[2012-05-11 12:17:25 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt12.sqm
[2012-05-10 20:59:15 | 000,000,268 | -H-- | M] () -- C:\sqmdata11.sqm
[2012-05-10 20:59:14 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt11.sqm
[2012-05-10 16:25:15 | 000,000,268 | -H-- | M] () -- C:\sqmdata10.sqm
[2012-05-10 16:25:15 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt10.sqm
[2012-05-09 20:38:43 | 000,000,268 | -H-- | M] () -- C:\sqmdata09.sqm
[2012-05-09 20:38:43 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt09.sqm
[2012-05-09 10:58:20 | 000,000,268 | -H-- | M] () -- C:\sqmdata08.sqm
[2012-05-09 10:58:20 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt08.sqm
[2012-05-08 21:55:01 | 000,000,268 | -H-- | M] () -- C:\sqmdata07.sqm
[2012-05-08 21:55:00 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt07.sqm

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[piotrus81]

Log z usuwania: http://www.wklej.eu/index.php?id=f1dac923c3
OTL.txt: http://www.wklej.eu/index.php?id=4381e9208a
Extras.txt: http://www.wklej.eu/index.php?id=094b3b62d4

[kominekl]

Odinstaluj Spybot - Search & Destroy (stare próchno), Ad-aware (w tym układzie zbędny), HijackThis (staroć) i Skaner on-line (nie zaktualizacyjny).

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE - HKU\S-1-5-21-1645522239-329068152-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
IE - HKU\S-1-5-21-1645522239-329068152-839522115-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Neostrada TP\SearchPageURL.dll ()
FF - prefs.js..browser.startup.homepage: \"http://pl.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official\"
O4 - HKU\S-1-5-21-1645522239-329068152-839522115-1003..\Run: [eekyanvdnqhdaoh] C:\Documents and Settings\All Users\Dane aplikacji\eekyanvdnqhdaohrclhk.exe File not found
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} http://mks.com.pl/skaner/SkanerOnline.cab (MainControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222695610062 (MUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O20 - HKLM Winlogon: Shell - (explorer_new.exe) -  File not found

:Files
C:\Documents and Settings\admin\ms.exe
C:\WINDOWS\System32\754782ld.exe
C:\WINDOWS\System32\13369532ld.exe
C:\WINDOWS\System32\17521712ld.exe
C:\WINDOWS\System32\20262182ld.exe
C:\WINDOWS\System32\26198432ld.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[piotrus81]

Log z usuwania: http://www.wklej.eu/index.php?id=58b1168c1d
OTL.txt: http://www.wklej.eu/index.php?id=b164b4314f
Extras.txt: http://www.wklej.eu/index.php?id=503be70588

[kominekl]

W OTL Sprzątanie.
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html.
Odinstaluj starą wersję Java`y Java 2 Runtime Environment, SE v1.4.0_03 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... /Java.html.
Odinstaluj starą wersję programu do odczytu .PDF ABBYY FineReader 5.0 Sprint, Adobe Reader 7.0.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję paczki kodeków K-Lite Mega Codec Pack 1.60. Zainstaluj najnowszą wersję K-Lite Codec Pack https://www.instalki.pl/download/programy/windows/multimedia/kodeki/k-lite-codec-pack-full/.
Odinstaluj starą wersję Skype`a Skype 2.5 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... Skype.html.
Zaktualizuj Firefox`a do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...).
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

[piotrus81]

Log Malwarebytes Anti-Malware: http://www.wklej.eu/index.php?id=dd774dbd30

[kominekl]

Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).

[piotrus81]

Zrobione.
Czy dobrze rozumuję, że to już wszystko?

[kominekl]

Zrobione.
Czy dobrze rozumuję, że to już wszystko?

Jeśli nie ma już żadnych problemów to tak. To już wszystko.

[piotrus81]

Wygląda na to, że chyba już wszystko ok. Jednakże nie mam w tym momencie czasu na bardziej dogłębne sprawdzenie. W razie jakichś problemów, dam znać.
Tymczasem gorąco dziękuję za skuteczną i szybką pomoc. Pozdrawiam

[kominekl]

Wygląda na to, że chyba już wszystko ok. Jednakże nie mam w tym momencie czasu na bardziej dogłębne sprawdzenie. W razie jakichś problemów, dam znać.
Tymczasem gorąco dziękuję za skuteczną i szybką pomoc. Pozdrawiam

W razie czego śmiało pytaj w tym temacie.

[piotrus81]

Musiałem reinstalnąć Neozdradę, gdyż okazało się, że brakuje jakichś składników oprogramowania:) Następnie musiałem odzyskać hasło do niej, gdyż nikt nigdzie go nie zapisał To nie był mój komputer - pomagałem kuzynce reanimować go. Wygląda na to, że już wszystko w porządku - a przynajmniej wszystko to, z czego kuzynka korzysta
Raz jeszcze dziękuje serdecznie za pomoc - już wiem do kogo zgłaszać się w razie potrzeby Pozdrawiam serdecznie i życzę sukcesów w udzielaniu pomocy

[kominekl]

Neostrada padła z niewiadomego do końca powodu, ale taka już uroda TP.