Blokada komputera przez policję - czy wszystko usunięte

[pawlik]

Witam

 

Przydarzył mi się popularny problem z blokadą komputera i że trzeba zapłacić za odblokowanie. Znalazłem na cert.pl instrukcję jak się tego pozbyć. Udało mi się wyłączyć tą blokadę z autorunu w trybie awaryjnym i przeskanowałem komputer za pomocą Kaspersky Virus Removal Tool. System ładuje się normalnie ale chciałbym się upewnić czy wszystko znikneło.

 

To co się uruchamiało i blokowało było gdzieś w Dane aplikacji i miało losową nazwę ale Kaspersky tego nie znalazł.

 

Proszę o ocenę logów. To jest komputer ze stacji kontroli pojazdów więc mogą tam być rzadko spotykane programy itp więc proszę o ostrożność w usuwaniu.

 

Automatyczne skanowanie: zakończono <1 min temu   (zdarzeń: 6, obiektów: 195448, czas: 00:52:41)	

2012-10-26 09:00:00 Zadanie zostało uruchomione

2012-10-26 09:45:24 Zagrożenie: Backdoor.Win32.Small.lo C:\WINDOWS\system32\temp2.exe

2012-10-26 09:45:24 Zagrożenie: Worm.Win32.Perlovga.v C:\WINDOWS\system32\temp1.exe

2012-10-26 09:45:54 Usunięty: Backdoor.Win32.Small.lo C:\WINDOWS\system32\temp2.exe

2012-10-26 09:45:57 Usunięty: Worm.Win32.Perlovga.v C:\WINDOWS\system32\temp1.exe

2012-10-26 09:52:41 Zadanie zostało zakończone

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

To jest komputer ze stacji kontroli pojazdów więc mogą tam być rzadko spotykane programy itp więc proszę o ostrożność w usuwaniu.

 

Ten komentarz uznaję za brak zaufania do naszych możliwości.

 

 

Znalazłem na cert.pl instrukcję jak się tego pozbyć. Udało mi się wyłączyć tą blokadę z autorunu w trybie awaryjnym i przeskanowałem komputer za pomocą Kaspersky Virus Removal Tool. System ładuje się normalnie ale chciałbym się upewnić czy wszystko znikneło. To co się uruchamiało i blokowało było gdzieś w Dane aplikacji i miało losową nazwę ale Kaspersky tego nie znalazł.

 

Wg OTL wynika, że tylko wyłączyłeś skrót ctfmon.lnk ze startu za pomocą Autoruns:

 

[2012-10-26 09:53:56 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\User\Menu Start\Programy\Autostart\AutorunsDisabled

 

Infekcja nie została usunięta w sposób kompletny, nadal na dysku widoczne jej pliki (dsgsdgdsgdsgw.pad + lsass.exe). Jest tu także adware.

 

1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BabylonObjectInstaller. Otwórz Google Chrome: w Rozszerzeniach odinstaluj Babylon Toolbar, w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google i po tym Search the web (Babylon) usuń z listy, z listy stron startowych wymaż odnośnik do search.babylon.com.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\AutorunsDisabled
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\User\Dane aplikacji\bsbandmltbpi
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-299502267-1303643608-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110809&tt=3312_6&babsrc=SP_ss&mntrId=e0debed7000000000000001a92379768"
O3 - HKU\S-1-5-21-299502267-1303643608-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[pawlik]

Ten komentarz uznaję za brak zaufania do naszych możliwości.

 

Przepraszam za to. Nie chciałem, żeby to tak zabrzmiało. Szczególnie, że korzystam z Twojej pomocy od czasu jak jeszcze pisałaś na [szukaj] i zawsze byłem bardzo zadowolony.

 

A oto logi po wykonaniu wszystkich kroków.

10272012_115126.txt

AdwCleanerS1.txt

otl2.txt

[picasso]

Prawie zrobione, lecimy już na koniec:

 

1. W Google Chrome nadal strona startowa Babylon. Zamknij przeglądarkę (nie może być uruchomiona) i w Notatniku otwórz plik:

 

C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj frazy homepage i zastąp w nich adresy.

 

2. W Firefox nadal Babylon. Wykonaj radykalny reset: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Poprawka na domyślne wyszukiwarki Internet Explorer (AdwCleaner je zniszczył). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\User\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Porządki po narzędziach. Odinstaluj Kaspersky Virus Removal Tool. Swoją drogą ... posługiwałeś się przestarzałą wersją, najnowsza to 2011. Przez SHIFT+DEL skasuj poniższy folder.

 

C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit

 

W AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie (to usunie i prehistoryczne szczątki kiedyś tam używanego ComboFix).

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log notuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)

 

I brak tu jakiegokolwiek antywirusa na straży.

 

 

 

.