znova SK policajny virus

[kurtista]

Results of screen317's Security Check version 0.99.68
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 10
``````````````Antivirus/Firewall Check:``````````````
Windows Firewall Enabled!
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 17
Java version out of Date!
Adobe Flash Player 11.7.700.224
Adobe Reader XI
Mozilla Firefox 12.0 Firefox out of Date!
Google Chrome 27.0.1453.110
Google Chrome 27.0.1453.116
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: 15% Defragment your hard drive soon! (Do NOT defrag if SSD!)
````````````````````End of Log``````````````````````

[vyosek]

Je potreba aktualizace, Java ma uz update 25 a FF je ve verzi 22

Java 7 Update 17
Java version out of Date!

Mozilla Firefox 12.0 Firefox out of Date!

Aktualizaci programu - aktualizace Vam pohodlne pohlida programek FileHippo UpdateChecker - staci spustit cca jednou za 14 dni

Stahnete OTL http://oldtimer.geekstogo.com/OTL.exe a ulozte jej na plochu

• Pokud pouzivate Win Vista ci W7, kliknete na OTL pravym a dejte Run As Administrator ci Spustit jako spravce
• Do spodniho okenka Vlastni skenovani/opravy vlozte skript nize

• Kód: Vybrat vše

  :reg
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Google Update"=-
  "Skype"=-
  [HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run]
  "GrooveMonitor"=-
  "SunJavaUpdateSched"=-
  "Adobe ARM"=-
  
  :files
  ,C:\Windows\tasks\Adobe Flash Player Updater.job
  C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
  C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
  C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2925716527-3682902867-2512639271-1000Core.job
  C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2925716527-3682902867-2512639271-1000UA.job
  C:\Windows\tasks\HPCeeScheduleForLydia.job
  %windir%\system32\*.tmp.dll /s
  %windir%\system32\SET*.tmp /s
  %windir%\*.tmp
  
  :commands
  [RESETHOSTS]
  [EMPTYTEMP]
  [EMPTYFLASH]
  [EMPTYJAVA]

• Nasledne kliknete na Opravit
• PC provede opravu, restartuje se a da Vam log, jeho obsah vlozte sem

[kurtista]

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Google Update deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Skype deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\\GrooveMonitor deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\\Adobe ARM deleted successfully.
========== FILES ==========
File\Folder ,C:\Windows\tasks\Adobe Flash Player Updater.job not found.
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2925716527-3682902867-2512639271-1000Core.job moved successfully.
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2925716527-3682902867-2512639271-1000UA.job moved successfully.
C:\Windows\tasks\HPCeeScheduleForLydia.job moved successfully.
File/Folder C:\Windows\system32\*.tmp.dll not found.
File/Folder C:\Windows\system32\SET*.tmp not found.
File/Folder C:\Windows\*.tmp not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User

User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Lydia
->Temp folder emptied: 299829641 bytes
->Temporary Internet Files folder emptied: 835232809 bytes
->Java cache emptied: 1221342 bytes
->FireFox cache emptied: 391400749 bytes
->Google Chrome cache emptied: 346922409 bytes
->Flash cache emptied: 57979 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 237307273 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42321377 bytes
RecycleBin emptied: 1239004354 bytes

Total Files Cleaned = 3 236,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: LogMeInRemoteUser

User: Lydia
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: LogMeInRemoteUser

User: Lydia
->Java cache emptied: 0 bytes

User: Public

Total Java Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 07062013_084253

Files\Folders moved on Reboot...
C:\Users\Lydia\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Lydia\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[vyosek]

Fajn, jak se chova PC

[kurtista]

Dakujem za opytanie, vyzera dobre, len musim setrit bateriou, lebo mi ho pred 20 hodinami priniesli bez zdroja, tak ho medzi "zakrokmi" davam do sleepu, na displej ledva vidim, ako som ho stiahol a max CPU vykon na baterie som znizil docasne na 60%. Ale drzi, je to Folio13 maly notebook. Skusil som Outlook, dotiahol postu, Chrome ide, Skype, IE, Firefox, vsetko vyzera zatial normalne. FileHippo som nainstaloval.

[vyosek]

Tak jeste uklidime

T-Cleaner http://tharifas.sweb.cz/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za tyden

A pokud nejsou problemy ci dotazy, je to z me strany vse

[kurtista]

Fu, po tretom precisteni registrov je uz aj toto ciste. Vyzera to, ze je to hotove. Velmi pekne dakujem, este otazka - ako sa nakazila? Sama nechodi na podozrive stranky, ale spomina, ze pred par dnami dostala mail od priatelky (z jej mailovej adresy) s vyzvou CLICK HERE TO DISCOVER <mailovaadresa priatelky> FAVORITE WEBPAGES, dalej FOLLOWING <mailovaadresa priatelky> HELPS YOU DISCOVER GREAT WEBSITES THEY RECOMMEND a hlavne "IS <mailovaadresa priatelky> YOUR FRIEND? YES/NO".
Klikla na YES, hodilo ju to na nejaku stranku, kde uz boli adresy dalsich spolocnych priatelov a rychlo odtial utiekla, lebo sa jej to zdalo divne. Napisala potom "odosielatelke" a ta potvrdila, ze jej nic neposielala. Mohlo to byt to ono?
Ako sa principialne branit? Obecne zasady su jasne - taketo divne stranky neotvarat, uvazovat, ci mail od priatela moze byt fakt od neho, ale aj tak, zakazdym podstupovat takuto anabazu a obtazovat ochotnych ludi?

Kazdopadne vam velmi pekne dakujem za pomoc.

Zdravi,

js

[vyosek]

Z toho mailu si myslim ze je to vice nez pravdepodobne. Vizte citaci kolegy z ESETu

Dobrý den,

rodina malware Win32/Ransom (tzv. Policejní virus) rozhodně není standardní malware a je to jeden z nejvíce modifikovaných rootkitů vůbec. U nás se šíří v několika vizuálech, které se již několikrát objevily a proto si naprostá většina uživatelů myslí, že se jedná o ten samý virus. Záměrně píši „vizuálech“. Bohužel pravda je taková, že těch mutací je v řádu několika stovek, spíš přes tisíc! Každá varianta je jiná, většina z nich používá rozličné cesty, jak se do PC dostat a infikovat ho.
Některé varianty se šíří s pomocí jiného malware, z napadených stránek, v e-mail přílohách atp. Objevily se rovněž varianty, které se šířili a PC infikovaly s pomocí zneužitelných bezpečnostních děr v aplikacích Java, Adobe Flash Player a Adobe Reader, Explorer, Firefox, Google Chrome, apod. I většinu těchto bezpečnostních děr "záplatujeme", i když to není primární funkce antiviru. Toto má zajistit výrobce daného programu. Pokud se tedy do PC dostane zdrojový virus, stáhne si vizuál podle toho, v jaké zemi se PC nachází.

Pravdou je, že drtivou většinu těchto hrozeb detekujeme a blokujeme! Zdrojový kód se tedy mění poměrně rychle (denně nové varianty) a tvůrci malware se snaží nové varianty napsat tak, aby ho antivirové programy nedetekovaly. Náš VirusLab se snaží reagovat na každou mutaci, která se objeví.

Obecně platí, že žádný antivirový produkt nezaručí 100% bezpečnost před viry. Na internetu se denně pohybuje kolem 10.000 infiltrací a podrobné informace máme jen o části z nich. Denně také může vzniknout několik variant stejného viru, kdy tak některé varianty detekovány jsou a jiné nikoliv. Vždy nejdříve vzniká vir a teprve poté je možné na něj vydat "protilék". Je to stejné jako v medicíně.

Navíc je nutné udržovat nejenom aktuální virovou databázi, ale i aktualizace operačního systému (Windows) a také aktualizace všech programů v něm! Pokud není některý program aktualizován a při tom obsahuje bezpečnostní díru, antivir nemusí průnik skrze tuto díru zachytit.


S pozdravem,
Ladislav Jukl
Specialista technické podpory
ESET software spol. s r.o.

Plati vylozene obecne pravidla obrany - neklikat na kdejakou blikajici a skakajici blbinu, otevirat maily kterym duverujete. Zkratka, at je mozek rychlejsi nez prsty.

[kurtista]

Zdravim,
tak to este zrejme uplne neskoncilo. Spustil som uplnu kontrolu vsetkych lokalnych diskov avast!-om "pred" Windowsom, trvalo to asi pol hodiny a napisal na CB obrazovke:

...
Report subor: C:\ProgramData\AVAST Software\Avast\report\aswBoot.txt

Testuju sa vsetky lokalne disky

Subor C:\Users\Lydia\Downloads\skype-img-04-12-2013.zip|>skype-img-04-12-2013.exe je infikovany virusom win32:Ransom-AHO [Trj]

Stlacenim
1 odstranite
2 odstranite vsetky
...
8 ignorujete vsetky
Esc ukoncite

Co teraz? Na tej obrazovke som ostal stat. Zatial som nezvolil ani jednu moznost.

D.,

js

[vyosek]

Muzete smazat, tohle bude zrejme ta priloha, ktera vse spustila...