Cyberprzestępczość departament - Komputer został zablokowany.

[sadguy]

Witam.

 

Tak samo, jak dziesiątki innych osób, złapałem tego wirusa, który ujawnił się w sumie tylko dwa razy i na razie dał sobie siana, ale nic nie robiłem, zeby go usunąć, więc on pewnie gdzieś tam sobie siedzi i jeszcze się ujawni, dlatego proszę o pomoc w pozbyciu się infekcji.

 

Pracuję na Win 7 Home Premium x64.

 

Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

Uruchamiałeś jakiś skrypt do OTL = jaki / co robił? Infekcja "Cyberprzestępczość" w szczątkach, tzn. w starcie nadal jest uruchamiany skrót ctfmon.lnk infekcji, ale kieruje donikąd (czymś musiano usuwać), plus na dysku poboczny plik *.pad. Do usuwaniabędzieteż śmietnisko adware oraz resztki po odinstalowanym Firefox i Norton Internet Security.

 

1. Przez Panel sterowania odinstaluj adware uTorrentControl2 Toolbar.

 

2. Google Chrome: W sekcji "Po uruchomieniu" z listy stron startowych skasuj search.babylon.com, www.searchnu.com i przestaw opcję na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Search Results na Google, po tym Search Results usuń z listy. W Rozszerzeniach odinstaluj adware Babylon Toolbar, uTorrentControl2 oraz resztkę Norton Identity Protection. Wyczyść Historię.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Maciej\AppData\Roaming\Mozilla
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Norton Internet Security
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-1321181584-2224309291-2958015862-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113926&tt=3012_7&babsrc=SP_ss&mntrId=6459e9a60000000000009cb70dc4fa8e"
IE - HKU\S-1-5-21-1321181584-2224309291-2958015862-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - !{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - Startup: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Stardock ObjectDock.lnk =  File not found
O7 - HKU\S-1-5-21-1321181584-2224309291-2958015862-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: main.exe = main.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[sadguy]

Tak, uruchomiłem skrypt z jakiegoś tematu, z podobnym problemem, ponieważ nie doczytałem, że dla każdego jest pisany indywidualnie. Nie usuwałem niczym. Zrobiłem tylko format dysku D (nie jest dyskiem systemowym u mnie), następnie zrobiłem skan AVG Anti-virus i MalwareBytes Anti-Malware - w obydwu przypadkach nic nie wykryły. Jak zrobię w/w punkty, to zedytuję ten post.

 

Punkt pierwszy wykonany, natomiast zastanawia mnie punkt drugi, gdyż nie używam i nie używałem Google Chrome...

[picasso]

zastanawia mnie punkt drugi, gdyż nie używam i nie używałem Google Chrome...

 

W Twoim logu widoczna pełna konfiguracja przeglądarki:

 

 

 

========== Chrome ==========

 

CHR - homepage: "http://search.babylon.com/?affID=113926&tt=3012_7&babsrc=HP_ss_cr&mntrId=6459e9a60000000000009cb70dc4fa8e"

CHR - default_search_provider: Search Results (Enabled)

CHR - default_search_provider: search_url = "http://dts.search-results.com/sr?src=crb&appid=390&systemid=406&sr=0&q={searchTerms}"

CHR - default_search_provider: suggest_url =

CHR - homepage: "http://www.searchnu.com/406"

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\Application\20.0.1132.57\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\Application\20.0.1132.57\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\Application\20.0.1132.57\gcswf32.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll

CHR - plugin: Babylon ToolBar (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll

CHR - plugin: Norton Confidential (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2012.5.4.6_0\npcoplgn.dll

CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll

CHR - plugin: Java™ Platform SE 7 U5 (Enabled) = C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll

CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

CHR - plugin: Zeon Plus (Enabled) = C:\Program Files (x86)\Nuance\PDF Reader\bin\nppdf.dll

CHR - plugin: Windows Live\u0099 Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll

CHR - plugin: Google Update (Enabled) = C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll

CHR - plugin: Java Deployment Toolkit 7.0.50.5 (Enabled) = C:\Windows\SysWOW64\npDeployJava1.dll

CHR - Extension: YouTube = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: Szukaj w Google = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: Babylon Toolbar = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\

CHR - Extension: Norton Identity Protection = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2012.5.4.6_0\

CHR - Extension: uTorrentControl2 = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\

CHR - Extension: Gmail = C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

 

 

Ale rzeczywiście, na liście zainstalowanych nie ma pozycji Google Chrome, czyli to muszą być odpadki. Pozbędziesz się ich w następujący sposób:

 

1. Przez SHIFT+DEL skasuj z dysku ten folder:

 

C:\Users\Maciej\AppData\Local\Google

 

2. Start > w polu szukania wpisz regedit > skasuj z prawokliku te klucze (nie wszystkie mogą być):

 

HKEY_CURRENT_USER\Software\Google

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google

 

 

 

.

[sadguy]

Racja, kiedyś tam była używana, ale przez bardzo krótki okres czasu. Dobra, punkty w poście powyżej wykonane. Czyli teraz pominąć punkt drugi:

2. Google Chrome: W sekcji "Po uruchomieniu" z listy stron startowych skasuj search.babylon.com, www.searchnu.com i przestaw opcję na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Search Results na Google, po tym Search Results usuń z listy. W Rozszerzeniach odinstaluj adware Babylon Toolbar, uTorrentControl2 oraz resztkę Norton Identity Protection. Wyczyść Historię.

 

i przejść już do wklejenia skryptu do OTL?

[picasso]

Zamiast punktu dwa wykonujesz podane usuwanie ręczne Google Chrome, a po tym skrypt do OTL i reszta zaleconych działań.

[sadguy]

Zalecenia wykonane. Załączam wymagane logi.

 

Refresh...

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie wykonane, ale w międzyczasie odbyła się instalacja kolejnego adware v9, bo są ślady na dysku. Zostały tylko poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\v9Soft
C:\found.000

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{687578b9-7132-4a7a-80e4-30ee31099e03}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{687578b9-7132-4a7a-80e4-30ee31099e03}"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java™ 7 Update 5 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

Czyli: odinstaluj starszą Java™ 7 Update 5 (64-bit) oraz wtyczkę Adobe Flash dla nieistniejącego już Firefoxa, sprawdź wersję wtyczki Adobe Flash w IE, zaktualizuj Office 2010 instalując dlań pakiet SP1.

 

 

.

[sadguy]

Dobra, wykonane wszystko. Czyli mam rozumieć, że to już koniec?

 

Jeśli tak, to dziękuję bardzo za pomoc, naprawdę pełna profeska.

 

Postaram się wpłacić jakieś pieniążki na forum, jeśli skromny budżet studenta na to pozwoli.

 

Pozdrawiam.

[picasso]

Dobra, wykonane wszystko. Czyli mam rozumieć, że to już koniec?

 

Tak, to koniec. Temat zamykam.

 

 

Postaram się wpłacić jakieś pieniążki na forum

 

Wielkie dzięki.

 

 

.