Wirus "polizja. biuro kryminalne" czy coś

**Posty:** 54 · przez **Box** 11 Lis 2013, 17:29

Hej,

Usuwam wirusa (nie sobie) który żąda od zarażonego 500 PLN w formie pinu do PaySafeCard. Jakiś rok temu innej osobie usuwałem coś podobnego, ale wtedy sprawa była prosta - wchodziłem w tryb awaryjny i Autorunsem od M$ usunąłem dziadostwo.

Teraz sprawa jest inna. Poszperałem w necie i wiem, że najlepiej wykonać skanowanie FRSTem w trybie awaryjnym i tu zaczynają się schody, bo... po wybraniu jakiejkolwiek opcji w ekranie pod F8, powraca do wyboru systemu (choć jest tylko jeden na tym komputerze) i czego bym nie wybrał, zawsze odpala zainfekowany system w normalnym trybie.

Dodam, że okno wirusa jest na cały ekran monitora i nie da się go alttabować, ani wejść w manager zadań, czy coś. Prosty trick, jaki odkryłem, to wyłączenie kompa z palca, wtedy następuje zamykanie procesu rundll32.exe, które przerywam i mogę śmigać na tym kompie, ale co z tego, jeśli osoba ta chce, by to w ogóle się nie pojawiało.

Ktoś powie, jak się dostać do trybu awaryjnego? Może coś z płytą i konsolą odzyskiwania? Wtedy wkleję te logi

edit: Inaczej to działa: system awaryjny się włącza, ale natychmiast się wyłącza :O Co bym nie robił, 3-5 sekund i off.

**Posty:** 14516 · przez **ToServeAndProtect** 11 Lis 2013, 17:37

Twoją metodą z palca <lol>

wykonaj czyszczenie ADWCleaner po czym zamieść potrzebne logi OTL

Autor postu otrzymał pochwałę

**Posty:** 54 · przez **Box** 11 Lis 2013, 18:40

Co się śmiejesz

Dobra metoda, przynajmniej można poruszać się po systemie

ADWCleaner zapuszczony (edit: nic nie wykrył, tylko jakiś YahooToolbar (usunięty)), log z OTL też później wkleję.

Tak na marginesie: czym się różni OTL od FRST?

edit: Tak w ramach ciekawostki znalazłem jakiś stary paragon PSC już dawno wykorzystany, wpisałem kod (było tam z 10 groszy) i wyskoczyło, że system zatwierdził, wszystko niby ok, ale wirus w dalszym ciągu blokuje kompa

@ A jednak wirus wyłącza się, ale po restarcie znów jest, czyli odpada to rozwiązanie.

Dodano 11.11.2013 18:12:49:
LOGI
OTL.txt: http://wklej.org/id/1174272/

Extras.txt: http://wklej.org/id/1174269/

**Posty:** 4765 · przez **ordynat** 11 Lis 2013, 18:43

FRST jest dalej rozwijany, a OTL już nie jest wspomagany, powoli przechodzi do przeszłości.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-11-10 05:08:41 | 000,152,064 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\qmlwqarf0.dss
[2013-11-11 16:54:06 | 095,025,368 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\0fraqwlmq.bxx
[2013-11-11 16:52:16 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\0fraqwlmq.fvv
[2013-11-11 16:44:30 | 000,000,804 | ---- | M] () -- C:\Documents and Settings\user\Menu Start\Programy\Autostart\0fraqwlmq.lnk
[2013-11-10 05:09:31 | 000,000,399 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\0fraqwlmq.reg
[2011-06-26 06:21:06 | 000,001,348 | -HS- | C] () -- C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\g3321266026114ro5180b2koc45nn4u67hc5okna52ng
[2011-06-26 06:21:06 | 000,001,348 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\g3321266026114ro5180b2koc45nn4u67hc5okna52ng
O33 - MountPoints2\{12df05d4-90b4-11de-abae-00242c6ee9ce}\Shell\Auto\command - "" = F:\wupdmgr.exe
O33 - MountPoints2\{12df05d4-90b4-11de-abae-00242c6ee9ce}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe
[2011-02-22 21:13:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\Myulse
[2011-02-20 21:29:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\Naqug
[2009-11-29 12:57:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\user\Dane aplikacji\Olkuut

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

Autor postu otrzymał pochwałę

**Posty:** 54 · przez **Box** 11 Lis 2013, 19:19

Raport po restarcie: http://wklej.org/id/1174340/?hl=text

OTL.txt: http://wklej.org/id/1174342/

Po restarcie komputera po wykonaniu skryptu pojawiło się takie okienko zamiast wirusa:

Java zaktualizowana.

**Posty:** 4765 · przez **ordynat** 11 Lis 2013, 21:13

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-11-11 16:44:30 | 000,000,744 | ---- | C] () -- C:\Documents and Settings\user\Menu Start\Programy\Autostart\0fraqwlmq.lnk
[2013-02-07 02:09:04 | 000,003,117 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ar7meul.js
[2013-02-07 02:09:02 | 095,023,320 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ar7meul.pad
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.45.2)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O4 - HKLM..\Run: [KernelFaultCheck] File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Autor postu otrzymał pochwałę

**Posty:** 54 · przez **Box** 11 Lis 2013, 22:34

Raport po skrypcie: http://wklej.org/id/1174599/

OTL.txt: http://wklej.org/id/1174602/

**Posty:** 4765 · przez **ordynat** 11 Lis 2013, 23:38

Wg mnie - jest OK.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Autor postu otrzymał pochwałę

**Posty:** 54 · przez **Box** 12 Lis 2013, 00:17

Tak, wszystko już w porządku. Dzięki

Kto jest na forum