Wirus podszywający się pod cyberpolicję

[Hawkx95]

Witam!

Mój problem to wirus podany w temacie. Trochę czytałem ale nadal nie wiem jak się go pozbyć.

Extras.Txt

OTL.Txt

[picasso]

Niepotrzebnie się wzorujesz na cudzych tematach. Pobrałeś i zastosowałeś starą wersję AdwCleaner 2.005 udostępnianą na okrężnym serwisie:

 

[2012-11-14 15:19:36 | 000,538,941 | ---- | M] () -- C:\Users\Daniel i Patryk\Desktop\AdwCleaner_www.INSTALKI.pl.exe

 

Proszę takich programów nie pobierać z Instalek i podobnych. Najnowsza wersja to 2.007 (ma to znaczenie: nowe definicje + poprawki) dostępna ze strony domowej programu. Autoryzowane linki gwarantujące najnowszą wersję w przyklejonym: KLIK. Użycie starej wersji 2.005 miało też skutki uboczne, ta wersja ma błąd i zrąbała domyślne wyszukiwarki Internet Explorer. Trzeba będzie to naprawiać ręcznie.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Daniel i Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-4124558896-2229116455-1420348773-1001..\Run: [Xvid] C:\Program Files (x86)\Xvid\CheckUpdate.exe File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Naprawa szkód po AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Przez Panel sterowania odinstaluj Akamai NetSession Interface Service, DAEMON Tools Toolbar, McAfee Security Scan Plus.

 

4. Wyczyść Firefox z naleciałości adware i starych aktualizacji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Hawkx95]

Wielkie dzięki za pomoc. To kolejny skan:

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta.

 

1. Nie odinstalowałeś zbędnego Akamai NetSession Interface.

 

2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do śmieci.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu aktualnie masz zainstalowane:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java™ 7 Update  (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-4124558896-2229116455-1420348773-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 22.0.1229.94
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll ()

 

Czyli: odinstaluj wszystkie zakreślone tu pozycje Adobe i Java, a następnie zastąp je najnowszymi wersjami, zaktualizuj przeglądarki (Google Chrome + Internet Explorer), Skype i OpenOffice.org.

 

 

 

 

.