Wirus - policja

[cinson13]

Dzisiaj niestety "udało mi się" złapać wirusa, który blokuje komputer i każe płacić 300 zł za odblokowanie go. Problem z tego co widzę dość popularny w ostatnich dniach. Załączam logi z OTL. Bardzo proszę o pomoc, nie mam ochoty na format dysku.

Extras.Txt

OTL.Txt

[picasso]

Przy okazji usunę szczątki po odinstalowanym Firefox.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Marcin\AppData\Roaming\Waolu
C:\Users\Marcin\AppData\Roaming\Uxoh
C:\Users\Marcin\AppData\Roaming\Pusal
C:\Users\Marcin\AppData\Roaming\Upigta
C:\Users\Marcin\AppData\Roaming\Babylon
 
:OTL
IE - HKLM\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=58bd32a7-1d4d-11e2-8783-00241d7ee1f9&q={searchTerms}"
IE - HKU\S-1-5-21-1530440928-1092475466-1310549039-1000\..\SearchScopes\{ED7DA462-4D4B-4E55-8A04-89F53F8873B5}: "URL" = "http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1"
IE - HKU\S-1-5-21-1530440928-1092475466-1310549039-1000\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=58bd32a7-1d4d-11e2-8783-00241d7ee1f9&q={searchTerms}"
O4 - HKLM..\Run: []  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj Complitly, Conduit Engine, LiveVDO plugin 1.3, searchweb, Vuze Remote Toolbar.

- Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj Complitly plugin for chrome, LiveVDO plugin.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[cinson13]

Dziękuję za tak szybką odpowiedź, jest już chyba całkiem dobrze, nic nie wyskakuje. Dołączam jeszcze te dodatkowe logi.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Na przyszłość, proszę nie pobierać AdwCleaner z innych serwisów niż strona domowa, tu przez IDG próbowałeś:

 

[2012-11-05 18:32:51 | 000,540,977 | ---- | M] () -- C:\Users\Marcin\Desktop\AdwCleaner.exe
[2012-11-05 18:24:10 | 002,111,088 | ---- | M] () -- C:\Users\Marcin\Desktop\adwcleaner_idg_downloader_56751_pc.exe

 

Zadania wykonane i zmierzamy do końca:

 

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Acrobat Speed Launcher"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz z menu opcję Scal. Zatwierdź import do rejestru.

 

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. W Dzienniku zdarzeń błąd WMI numer 10. Napraw automatem z KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Twój log mówi, że masz:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

W skrócie: odinstaluj wszystkie stare Adobe, Java i Silverlight przed aktualizacją.

 

 

PS. Co do Gadu-Gadu 10 ... obejrzyj alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[cinson13]

Dziękuję bardzo za pomoc jeszcze raz. Wszysko jest już w porządku

[cinson13]

Witam, potrzebuję pomocy z wirusem, który blokuje cały komputer wyświetlając stronę o policji. Dołączam logi z OTL.

Extras.Txt

OTL.Txt

[picasso]

Tematy łączę razem. Ten sam komputer załatwiony w tak krótkim czasie ponownie ... Olałeś wtedy aktualizacje, myśląc że to nieistotne, a to luki w oprogramowaniu są m.in. przyczyną. Jak była stara Java i reszta, tak nadal to samo.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  = 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[cinson13]

Widać człowiek uczy się na błędach... Będę mieć nauczkę, żeby wszystko doprowadzać ko końca zawsze.

OTL.Txt

[picasso]

Infekcja usunięta. Tę część już znasz:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaległe aktualizacje.

 

 

 

.

[cinson13]

Wszystko zrobione. Mam nadzieję, że już nie trzeba będzie odświeżać tematu. Dziekuję za pomoc po raz kolejny.