Policja. Kolejny wirus

[WhisperStorm]

Witam. O.o ehh mówie na starcie nie jestem zbytnio w tym obeznany a wiec w razie czego to przepraszam jeśli coś nie tak robie.

a wracając do tematu ^^ to standard. Wirus o cyberprzestępczości itp podsyłam logi

Extras.Txt

OTL.Txt

[WhisperStorm]

Móglby ktoś sprawdzić te logi ? Prosze. huh kilka stron juz odwiedziłem z tym samym tematem i nigdzie nie ma odpowiedzi a widze ze tutaj uzytkownicy są aktywni

[picasso]

WhisperStorm, proszę nie histeryzować (czekasz niecałe dwie godziny i to w porze wieczorowej!) tylko przeczytać zasady działu na temat cierpliwości: KLIK. Tu są tylko dwie osoby autoryzowane do pomocy. Aktualnie jestem sama i muszę zaadresować tematy założone wcześniej. Nie jesteś jedyny, byli przed Tobą wcześniej i czekają na odpowiedź.

 

Tak więc właśnie straciłam czas na napisanie oczywistych rzeczy. Przyjdzie Twoja kolej, będziesz miał infekcję od ręki usuniętą. Proszę o cierpliwość.

 

 

 

 

.

[WhisperStorm]

nie tyle ze histeryzuje to jest poprostu komp niezbędny do pracy. Nie chcialem urazic ani nic. i nie znam aktualnego stanu Twojego składu. To niezbyt sie orientowalem ze jestes sama tak wiec sorka

[picasso]

Na forum są powieszone zasady, z których wynika kto może prowadzić pomoc w tym szczególnym dziale (wyliczone dwie konkretne osoby), plus porównanie kto jest aktualnie na forum i nie ma wątpliwości, że jest tylko jedna osoba pomagająca.

 

 

---

System zabrudzony też ogromną ilością adware. Od razu będę usuwać i szczątki po odinstalowanym Google Chrome.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\WhisperStorm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Users\WhisperStorm\AppData\Local\Google
 
:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDtDtDtDtDtDtDtD0AzzzyyEtN0D0Tzu0StBtCyEtN1L2XzutBtFtCtFtDtFtBzyzy&cr=476962708"
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDtDtDtDtDtDtDtD0AzzzyyEtN0D0Tzu0StBtCyEtN1L2XzutBtFtCtFtDtFtBzyzy&cr=476962708"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDtDtDtDtDtDtDtD0AzzzyyEtN0D0Tzu0StBtCyEtN1L2XzutBtFtCtFtDtFtBzyzy&cr=476962708"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={601C4463-7BF9-4F6D-BA03-0FD22ADF755A}"
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDtDtDtDtDtDtDtD0AzzzyyEtN0D0Tzu0StBtCyEtN1L2XzutBtFtCtFtDtFtBzyzy&cr=476962708"
IE - HKCU\..\SearchScopes\{26636E41-0DB6-E9FB-9267-2E85FB6FB386}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010812_nich_3112_2&babsrc=SP_ss&mntrId=aca7a894000000000000001d7da0effe"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={FDCB5069-EBE8-4F6A-8348-B0351C878965}&mid=1034e8af33f447d09ef7d1543b44060d-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=xn011&pr=sa&d=2012-09-13 23:57:08&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyGXJeBXE&i=26"
IE - HKCU\..\SearchScopes\{DC6DA9A1-D96B-4FE5-8C5B-CA91CC81F1C8}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=765"
IE - HKCU\..\SearchScopes\{E0ADC52D-D846-4594-839D-4F61EDEFD206}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=4110095e-b91b-4af3-948f-3d43510c6c7d&apn_sauid=E37AE89D-F831-4891-B8CD-CEEAE716BF72"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={601C4463-7BF9-4F6D-BA03-0FD22ADF755A}"
IE - HKLM\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - SOFTWARE\Classes\CLSID\{687578b9-7132-4a7a-80e4-30ee31099e03}\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - SOFTWARE\Classes\CLSID\{687578b9-7132-4a7a-80e4-30ee31099e03}\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\13.2.0.5 [2012-11-08 17:06:29 | 000,000,000 | ---D | M]
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.29.1\bh\BabylonToolbar.dll File not found
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll File not found
O2 - BHO: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll攀爀猀 File not found
O2 - BHO: (TBSB00808 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\Freecorder 6\tbcore3.dll File not found
O3 - HKLM\..\Toolbar: (uTorrentControl2 Toolbar) - {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll File not found
O3 - HKLM\..\Toolbar: (Freecorder 6) - {6B34ACCF-1B63-4E1A-8633-461917C75544} - C:\Program Files (x86)\Freecorder 6\tbcore3.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.29.1\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentControl2 Toolbar) - {687578B9-7132-4A7A-80E4-30EE31099E03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll攀爀猀 File not found
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [PlayNC Launcher]  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware 1ClickDownloader, Ask Toolbar, AVG Security Toolbar, Avira SearchFree Toolbar plus Web Protection Updater, BabylonObjectInstaller, facemoods, Internet Explorer Toolbar 4.6 by SweetPacks, SearchYa! Web Search, Softonic toolbar on IE, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[WhisperStorm]

dzieki wielkie i sorka za klopot. Heh jak juz mowilem troszke zarobiony jestem i wglebiac w niektore rzeczy sie nie moglem dlatego tak na pospiechu potrzebowalem. Przepraszam i jeszcze raz dzieki

AdwCleanerS1.txt

OTL.Txt

[picasso]

Prawie wszystko wykonane, tylko poprawki i kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{26636E41-0DB6-E9FB-9267-2E85FB6FB386}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_NT"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"KPeerNexonEU"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\WhisperStorm\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
C:\Users\WhisperStorm\AppData\Roaming\mozilla\Firefox\Profiles\extensions\OneClickDownload@OneClickDownload.com
C:\Users\WhisperStorm\AppData\Roaming\mozilla\Firefox\Profiles\extensions\extensions\ffxtlbr@searchya.com
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie usuń do śmieci.

 

4. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem z KB2545227.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Odinstaluj wszystkie stare Adobe i Java, zastąp najnowszymi wersjami: KLIK. Wg raportu masz obecnie zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

 

 

.

 

[WhisperStorm]

dzieki wielkie za pomoc