Problem z cyberprzestępczością

[deepack321]

Witam, dopadł mnie wirus Cyberprzestępczości, poczytalem na forum i dodaje logi:

 

Extras: http://www.wklej.org/id/860124/

OTL: http://www.wklej.org/id/860126/

 

Skany robiłem na windowsie 7, z użytkownika gość, to dobrze?

Proszę o pomoc

 

Pozdrawiam

[picasso]

Skany robiłem na windowsie 7, z użytkownika gość, to dobrze?

 

Konta Gość? Raport mówi, że z konta administracyjnego Zbyszek:

 

Computer Name: ZBYSZEK-HP | User Name: Zbyszek | Logged in as Administrator.

 

Raporty z konta Gość byłyby nieodpowiednie: po pierwsze złe konto, po drugie nie umożliwiłoby usuwania z innego konta (brak uprawnień). Skan zawsze musi być wykonany z poziomu konta na którym jest problem.

 

 

---

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Zbyszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Zbyszek\AppData\Roaming\_MDLogs
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-3280367421-706280769-780077192-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-3280367421-706280769-780077192-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[deepack321]

Log: http://www.wklej.org/id/860534/

 

Wszystko jest dobrze?

[picasso]

Infekcja pomyślnie usunięta. Zakończ sprawy w prawidłowy sposób:

 

1. Drobna poprawka na szczątki po pasku. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-3280367421-706280769-780077192-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Stare Javy i Adobe do deinstalacji przed zastąpieniem nowymi, aktualizacja Firefox i Google Chrome: KLIK. W Twoim logu widać następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Google Chrome" = Google Chrome 21.0.1180.83
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

5. W Dzienniku zdarzeń masz takie błędy:

 

Error - 2012-11-02 05:10:12 | Computer Name = Zbyszek-HP | Source = Service Control Manager | ID = 7001
Description = Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania
 nazw równorzędnych, której nie można uruchomić z powodu następującego błędu:   %%-2140993535
 
Error - 2012-11-02 05:10:12 | Computer Name = Zbyszek-HP | Source = Service Control Manager | ID = 7023
Description = Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie;
 wystąpił następujący błąd:   %%-2140993535

 

Wykonaj to:

 

Przejdź w Tryb awaryjny Windows, wejdź do folderu C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking, ze środka usuń wszystkie pliki modelu nazwy idstore.* (może być więcej niż tylko jeden idstore.sst).

 

 

 

.