Wirus - "Polska Policja Cyberprzestępczość departament"

[black1921]

Witam.

 

Po raz kolejny mam problem z tego typu wirusem. Tym razem jednak wygląda trochę inaczej (chociaż wydaje mi się, że to również Weelsof) i dotyczy innego komputera. Jeśli jednak administrator stwierdzi, żeby połączyć ten temat z moim poprzednim to proszę.

 

Przesyłam logi.

 

Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Rafał\AppData\Roaming\mozilla\firefox\profiles\1psn5jyd.default\searchplugins\startsear.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKLM\..\SearchScopes\{56FD9EDD-6B5A-4317-903E-6821D37C9179}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=91f15450-7dbc-11e1-8606-dfaeb23b836f&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-1227998664-2173963975-3095173484-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=2a5ed81b0000000000007edd08c4d14a&tlver=1.4.19.19&affID=17160"
IE - HKU\S-1-5-21-1227998664-2173963975-3095173484-1000\..\SearchScopes\{56FD9EDD-6B5A-4317-903E-6821D37C9179}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=91f15450-7dbc-11e1-8606-dfaeb23b836f&q={searchTerms}"
IE - HKU\S-1-5-21-1227998664-2173963975-3095173484-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj nośnik adware LiveVDO plugin 1.3 oraz McAfee Security Scan Plus. Otwórz Firefox i w Dodatkach odinstaluj Babylon.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[black1921]

Dziękuję za pomoc.

 

Komputer uruchamia się już normalnie.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania wykonane. Kończymy:

 

1. Poprawka na Babylon w Firefox. Zamknij Liska. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3

 

Klik w Wykonaj skrypt.

 

2. Poprawka na wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Twój log notuje brak SP1 dla Windows 7 oraz wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java™ 6 Update 16 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Google Chrome" = Google Chrome
"Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Te wszystkie stare Adobe, Java i Silverlight odinstaluj przed nałożeniem nowej wersji. Pozycja Google Chrome wygląda na jakiś odpadek (usuń), bo w OTL nie widać wykrytej konfiguracji tej przeglądarki.

 

 

 

.