WIRUS UKASH BLOKADA KOMPUTERA

[luki356]

Witam przeczytalem troche wasze zasady i mniej wiecej zrobilem jakos te logi. Mam tylko 2 uzytkownikow i jeden jest zablokowany a drugi na szczescie nie wiec jakos moge przebywac na nim;D Juz u mego kolegi zdarzyl sie taki wirus tylko ze fbi niby blokowalo a u mnie policja tam przeinstalowalem system i dobrze mu chodzi ale ja mam win 7 i nie mam systemu. prosze o pomoc:) A i nie wiem czy dobrze bo robilem te logi na tym dzialajacym uzytkowniku a nie na tym zepsutym ;/ ale zacznacyzlem wszyscy uzytkownicy no nie wiem prosze jeszcze raz o pomoc

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{1627AFCB-702A-4838-A14F-493F2F703698}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_1&babsrc=SP_ss&mntrId=00a84545000000000000b482fee60bce"
IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{1627AFCB-702A-4838-A14F-493F2F703698}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=2912_1&babsrc=KW_ss&mntrId=00a84545000000000000b482fee60bce&q="
[2012-03-28 08:20:02 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Łukasz\AppData\Roaming\mozilla\Firefox\Profiles\o6vtxtgg.default\extensions\vshare@toolbar
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\o6vtxtgg.default\searchplugins\startsear.xml
[2011-01-08 20:44:33 | 000,001,583 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\o6vtxtgg.default\searchplugins\web-search.xml
[2012-07-18 20:49:42 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found
O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [Galileo] C:\Users\Łukasz\AppData\Local\Galileo\galileo.exe silent File not found
O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [ixxqffqwciqdszd] C:\ProgramData\ixxqffqw.exe ()
O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [startup] C:\Users\Łukasz\AppData\Roaming\Microsoft\svchost.exe ()
 
:Files
C:\ProgramData\dkrynwyechjczvy
C:\ProgramData\ggnpgbwjuuodywg
C:\Users\Łukasz\0.21896400743601985.exe
 
:Reg
[HKEY_USERS\S-1-5-21-2812099111-2226991303-1355818961-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{414D937A-2774-4A19-A374-0CE80902643F}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[luki356]

zostalo tylko emtytemp i non stop cos laduje i laduje tak ma byc? i jak reset zrobie to moge juz wejsc na zainfekowaego uzytkownika?

[Landuss]

Tak ma być. Emptytemp to komenda, która ma za zadanie wyczyści Tempy a więc te miejsca gdzie są śmieci. WIdocznie masz ich bardzo dużo i trzeba poczekać.

[luki356]

ok a po restarcie moge wejsc na uzytkownika zainfekowanego czy jeszcze nie?

[Landuss]

Jak najbardziej możesz. Infekcja powinna zostać zdjęta i nie będzie z tym problemu.

[luki356]

ok a mam jedno jeszcze pytanie z tym babylon search bo usunalaem to cholerstwo z komputera ale na mozzili dalej jest jako wyszukiwarka i chce po otwarciu nowej karty miec pusta strone?? poradzisz cos na to>?

[Landuss]

AdwCleaner powinien to przeczyścić, a jak nie to musisz sam przestawić w ustawieniach przeglądarki.

[luki356]

ok wlazlem bez problemu i usunalem wszystko i zrobilem loga

 

Wielkie dzieki naprawde super forum

OTL.Txt

[Landuss]

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[luki356]

Zrobione jeszcze raz wielkie wielkie dzieki ;D napewno zajrze przy nastepnym problemie na to forum:D