Wirus podający się za policje na jednym z systemów

[Gadom]

Witam!

Korzystam z dwóch systemów komputerowych Windows XP i Windows 7. Na windows Xp spotkała mnie nie miła niespodzianka jak wirus który podaje się za policje i wyłudza pieniądze, pewnie nie raz już tu parę osób się z tym spotkało.Na wstępie na win 7 użyłem Malwarebytes Anti-Malware, następnie przeskanowałem antywirusem i na koniec użyłem combofixa i to co tymi 3 rzeczami miałem usunąć usunąłem. To samo wykonałem na zainfekowanym XP. Jednak żeby mieć pewność ze usunąłem te świństwo wolałem wykonać logi i wam pokazać oto one :

Win XP

OTL : http://www.wklej.eu/index.php?id=16efd055ee
EXTRAS : http://www.wklej.eu/index.php?id=0e17ef4803

I jeżeli robi to różnice to tez z Win 7:

OTL : http://www.wklej.eu/index.php?id=33f7ef39b9
EXTRAS : http://www.wklej.eu/index.php?id=eec1eb3f30

[mateo8898]

na koniec użyłem combofixa

Radze się zapoznać z tym http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687

XP:
Pobierz ten plik http://www.dlldump.com/dllfiles/W/wuauserv.dll i wrzuć do folderu C:\WINDOWS\system32
Następnie:
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\Gadoms\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (afj47j4l)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-06-20 18:16:02 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Dane aplikacji\bfcbpmhrqtvnyms

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"NvMediaCenter"=-
"nwiz"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Win7:
Odinstaluj: vShare.tv plugin, DAEMON Tools Toolbar, IObit Toolbar. Następnie:
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Gadom\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a6qicsl1)
IE - HKLM\..\SearchScopes\{A2074458-380E-47E0-AFB9-CE17DCDF728E}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1cf3a220-1391-11e1-b8c8-00241d64dbf3&q={searchTerms}
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=AEAE3388-0931-414D-B554-89065D429FF0&apn_sauid=29A8834D-6306-4F89-AAE3-85A87284C762
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{98DDD4C2-082D-48D3-BE73-8B5253DB207C}: "URL" = http://www3.iamwired.net/websearch.php?src=tops&search={SearchTerms}
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{A2074458-380E-47E0-AFB9-CE17DCDF728E}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1cf3a220-1391-11e1-b8c8-00241d64dbf3&q={searchTerms}
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-1235542836-933740508-3956609943-1001\..\SearchScopes\{DA497415-AA98-4A5A-B897-F76D380E0ADE}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950&ilc=12"
FF - prefs.js..browser.search.selectedEngine: "Yahoo"
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=382950&p="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-03-03 17:18:56 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM
[2012-03-03 17:18:56 | 000,000,000 | ---D | M] (IObit Toolbar) -- C:\PROGRAM FILES\IOBIT TOOLBAR\FF
[2012-02-12 22:46:57 | 000,275,540 | ---- | M] () (No name found) --
[2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011-01-23 15:01:17 | 000,000,000 | ---D | M] -- C:\Users\Gadom\AppData\Roaming\x2svyttytzmcvie1hkmbmha3marmk3lc2
[2011-01-26 16:57:08 | 000,000,000 | ---D | M] -- C:\Users\Gadom\AppData\Roaming\xuqyyxmeupaed2giruqghf2udd1dmsha2
[2011-04-28 00:22:16 | 000,000,000 | ---D | M] -- C:\Users\Gadom\AppData\Roaming\zrksqj3k1wfwuqgmcynrgc1gemtu1pc2

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Gadom\AppData\Roaming\x2svyttytzmcvie1hkmbmha3marmk3lc2\svcnost.exe"=-
"C:\Users\Gadom\AppData\Roaming\xuqyyxmeupaed2giruqghf2udd1dmsha2\svcnost.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Gadom]

Radze się zapoznać z tym otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687

Dobrze wiedzieć na przyszłość, nigdy nikt mi nie mówił ze tak pomocny programik może tyle szkód wykonać i pomyśleć ze nawet w technikum informatycznym nauczyciel to używał i polecał nam combofixa .......

Pobierz ten plik http://www.dlldump.com/dllfiles/W/wuauserv.dll i wrzuć do folderu C:\WINDOWS\system32

co do tego pliczku był on, ale jak prosiłeś to ściągnąłem i podmieniłem go.

XP :
Usuwanie : http://www.wklej.eu/index.php?id=ab7466aeee
OTL : http://www.wklej.eu/index.php?id=367a04fd21
EXTRAS : http://www.wklej.eu/index.php?id=025be7ec38

Win 7 :
Usuwanie : http://www.wklej.eu/index.php?id=cbbbaf26d6
OTL : http://www.wklej.eu/index.php?id=60bd5e4f3f
EXTRAS : http://www.wklej.eu/index.php?id=d8e32f2d3d

Mam pytanie co do DAEMON Tools Toolbar, bo w końcu to program który umożliwia uruchamianie wirtualnych dysków a jednak miałem go usunąć czemu ?

[mateo8898]

Mam pytanie co do DAEMON Tools Toolbar, bo w końcu to program który umożliwia uruchamianie wirtualnych dysków a jednak miałem go usunąć czemu ?

DAEMON Tools Toolbar to śmieciarski pasek narzędziowy, a z kolei DAEMON Tools to program do tworzenia wirtualnych napędów. Ja zaleciłem odinstalowanie tego pierwszego.

XP:
W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zainstaluj jakiegoś antywira.

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 22

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... /Java.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.1 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Win7:
W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... rer_9.html

Java(TM) 6 Update 29

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... nment_(JRE)_6.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.4.5 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[Gadom]

mati8898 własnie na koniec miałem zadać ci parę pytań

Po pierwsze na XP wywaliłem antywira i chciałem zapytać o twoje zdanie jaki najlepszy darmowy ? Dużo osób poleca Avasta, kurde kiedyś z nim miałem nie ciekawe wspomnienia jak sam w sobie wirusa wykrywał.

I ogólnie mam pytanie co byś poradził oprócz Antywirusa, żeby utrzymać dobry porządek na komputerze ?


I dzięki za twoja pomoc

[mateo8898]

Jeśli chodzi o Avasta, to takie dziwne rzeczy raczej w starszych wersjach występowały, od wersji 5 to całkowicie inny i dużo lepszy program. Jak najbardziej mogę go polecić. Oprócz tego godne uwagi są także: Avira, AVG, Comodo.

Oprócz antywira mogę polecić Malwarebytes jako skaner na żądanie i do tego raz na kilka tygodni przejechać CCleanerem w celu pozbycia się śmieci.

[Gadom]

Malwarebytes używam od dłuższego czasu
CCleanera tez

Wiec wypróbuje Avasta A do Avasta jakiś Firewall?

[mateo8898]

http://www.instalki.pl/programy/downloa ... ewall.html

[Gadom]

A zapomniałem o Comodo zobaczymy jak Avast + Comodo Firewall będą się spisywać, nawet wypróbuje może ta kombinacje na Win 7 na którym jestem,bo XP jest dla rodziców.

Dzieki wielkie mati8898 za pomoc