Polska Policja Cyberprzestępczość Departament

[uton]

Witam,

Ja mam ten sam problem co kolega wyżej...

System XP HE

 

Proszę o pomoc.

Extras.Txt

OTL.Txt

[picasso]

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone.

 

Są tu również ślady infekcji z nośników przenośnych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
C:\Documents and Settings\user\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
 
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [RestartNeroSetup] "C:\DOCUME~1\user\USTAWI~1\Temp\Nero Web\SetupXu.exe" MODE="update"  STARTMODE="2"  USERSEL="3"  FAMILYNAME="Nero 7"  RUNSETUPXU="1"  UPGRADE="1" File not found
O4 - HKU\S-1-5-21-507921405-343818398-725345543-1004..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab" (Reg Error: Value error.)
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-2709703912-3355249156-554452821-8966\nissan.exe) -  File not found
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BabylonObjectInstaller, DealPly, PDFCreator Toolbar oraz zbędny Akamai NetSession Interface.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[uton]

Dzięki wielkie.

Pozdrawiam

Łukasz

AdwCleanerS1.txt

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta. Posłużyłeś się starą wersją AdwCleaner v2.005, najnowsza to 2.006. Skutki: trzeba będzie poprawiać, bo ta wersja miesza w wyszukiwarkach Internet Explorer. Skierowałam Cię do strony domowej programu, tam była najnowsza wersja ... Następnym razem proszę wyposażyć się w program na nowo, to taki typ, że trzeba go na okrągło pobierać, by mieć pewność, że w rękach najnowsza wersja.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\aiksssj7.default\extensions\ffxtlbr@babylon.com
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\aiksssj7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\aiksssj7.default\extensions\{87934c42-161d-45bc-8cef-ef18abe2a30c}
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\aiksssj7.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\aiksssj7.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
C:\Documents and Settings\user\Dane aplikacji\blekko
C:\Program Files\IrfanView_Downloader.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\user\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRIS_S2P"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. Jest tu za dużo antywirusów zainstalowanych, równolegle działają Ad-Aware Antivirus + PC Tools AntiVirus 6.0. Do deinstalacji PC Tools, bo stary (z roku 2009).

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Zaktualizuj wyliczone poniżej programy: KLIK. W Twoim logu widać:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.5
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

Masz już najnowszą Java 7 oraz wtyczkę Adobe Flash dla Firefox, ale odinstaluj stare Java 6, Adobe Flash dla IE i Adobe Reader. Zaktualizuj pakiet Office.

 

 

 

.