Polska policja cyberprzestepczości

[Janek112]

Mnie rowniez dotknal ten problem, odlaczylem wiec internet od komputera i moge na nim pracowac. prosze o pomoc z rozwiazaniem tego problemu. z gory dziekuje. w zalaczniku zamieszczam log otl oraz extras.

 

http://www.wklej.org/id/868724/txt/

http://www.wklej.org/id/868725/txt/

 

[picasso]

Proszę nie umieszczać raportów na tym serwisie. Nikt tu nie będzie czekał około minuty na pobranie raportów. Przehostowane na wklej.org. Prócz infekcji będzie tu usuwane adware i szczątki po odinstalowanym Firefox.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
 
:OTL
IE - HKU\S-1-5-21-436374069-1214440339-682003330-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=5049e82b000000000000001d7dd672b0"
IE - HKU\S-1-5-21-436374069-1214440339-682003330-500\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={D567F1B4-924F-40C3-BCFA-611019D4F3CF}&mid=8378441a056147d1bd2dd1543b329b43-662312fb2f52260729ec1884f8a7a5adc7e11ee0&lang=pl&ds=xn011&pr=sa&d=2012-09-13 18:37:33&v=12.2.5.34&sap=dsp&q={searchTerms}"
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O4 - HKU\S-1-5-21-436374069-1214440339-682003330-500..\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found
O7 - HKU\S-1-5-21-436374069-1214440339-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-436374069-1214440339-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O4 - HKU\S-1-5-21-436374069-1214440339-682003330-500..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe" File not foundDRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS -- (TVICHW32)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Janek112]

zrobilem tak jak mowiles. niestety komputer sie nie zrestartowal. blokada po podlaczeniu internetu nadal jest aktywna.komputer nie pracuje w trybie awaryjnym. Prosze o kolejne wskazowki lub wytkniecie moich bledow. nizej podaje nowy log otl. Z gory przepraszam za to ze wrzucam na serwery ale posluguje sie telefonem i nie dziala mi zalaczanie plikow.

 

http://www.wklej.org/id/869511/txt/

[picasso]

Jak mówiłam: serwis wklej.org, bezpośrednie przeklejenie tekstu raportu a nie załączanie całego pliku. Przeklejam ponownie, bo pobieranie plików z serwisów zewnętrznych z czekaniem 30 sekund tylko opóźnia robotę i szybki wgląd do raportów.

 

Nic nie wykonane. Przejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem. Punkty 2 i 3 z kolei już w Trybie normalnym.

 

 

 

.

[Janek112]

Przepraszam Cię najmocniej za literówki, ale jak mówiłem pisałem z telefonu.

 

Odblokowałem juz komputer, wszystko jest tak jak opisałaś. Czekam na dalsze wskazówki, niżej zamieszczam log OTL.

 

http://wklej.org/id/869942/txt/

[picasso]

Zadania pomyślnie wykonane. Kończymy:

 

1. Mikro poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS -- (TVICHW32)
 
:Files
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarananną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Opera 12.02.1578" = Opera 12.02

 

Czyli: odinstaluj stare Adobe i zastąp najnowszymi wersjami, zaktualizuj Operę, zainstaluj SP3 dla Office 2007.

 

 

 

 

.

[Janek112]

Dziękuję Ci bardzo za pomoc. Twoja wiedza jest nieoceniona .. Jeszcze chciałem zapytać tak z ciekawości czy aktualizacja aplikacji jest obowiązkowa lub zalecana, czy nie potrzebna?

[picasso]

Jeszcze chciałem zapytać tak z ciekawości czy aktualizacja aplikacji jest obowiązkowa lub zalecana, czy nie potrzebna?

 

Obowiązkowa. Luki w aplikacjach to jedna z metod łapania infekcji.

 

 

.

[Janek112]

Jeszcze raz dziękuje Ci za pomoc i za informacje. Pozdrawiam.