Wirus Departament Policji

[Furmann1]

Witam.

Właśnie zaatakował mnie słąwny departament.

Proszę o pomoc co zrobić.

Piszę z Trybu Awaryjnego z dostępem do sieci.

[picasso]

Przeczytaj zasady działu co tu się podaje: KLIK. Jak mamy Ci pomóc bez raportów? Dostarcz logi z OTL.

 

 

.

[Furmann1]

To znaczy zrobić skan tym programem otl???

 

Proszę jeszcze raz z plikiem extras - Przepraszam nigdy nie robiłem raportów w otl

Extras.Txt

OTL.Txt

[picasso]

Nie rozumiem pytania, zwłaszcza w kontekście podania już raportu ... Zostałeś skierowany do opisu narzędzia OTL, gdzie wszystko jest wyjaśnione co to za program, do czego służy, jak się go konfiguruje i co jest wynikową. I nie doczytałeś.

 

EDIT: posty sklejam dla logiki. Log Extras za szeroki, opcja "Rejestr - skan dodatkowy" miała być ustawiona na "Użyj filtrowania" a nie "Wszystko", ale zostaw to już.

 

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD753LJ_S13UJ9ASA01490&ts=1352750489"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD753LJ_S13UJ9ASA01490&ts=1352750489"
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny, kolejne działania muszą już być wykonane z poziomu Trybu normalnego:

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, Funmoods, Get Yahoo! Messenger, Softonic-Eng7 Toolbar, vShare Plugin, vShare.tv plugin 1.3.

 

3. Google Chrome: wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń odnośnik do searchfunmoods.com, zaznacz opcję "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Funmoods na Google, po tym Funmoods usuń z listy. W Rozszerzeniach odinstaluj vshare plugin. Wyczyść Historię.

 

4. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. W Moim Dokumentach masz plik o wadliwej nazwie (z kropką na końcu), próba jego usunięcia zwróci, że taki plik nie istnieje:

 

========== Files - Modified Within 30 Days ==========
 
File not found -- C:\Documents and Settings\Administrator\Moje dokumenty\Administrator.

 

Usuń go posługując się programem Delete FXP Files.

 

7. Zrób nowy log OTL z opcji Skanuj (już nie dawaj mi po raz drugi pliku Extras). Dołącz log utworzony przez AdwCleaner.

 

Odpowiadasz oczywiście już w nowym poście.

 

 

.

[Furmann1]

Jestem po :

Przesyłam rapory

OTL.Txt

AdwCleanerS1.txt

[picasso]

Kierowałam wyraźnie do opisu programu AdwCleaner na forum, podającego linki do strony domowej narzędzia i ostrzegającego przed pobieraniem z nieautoryzowanychj serwisów. Tylko tam jest najnowsza wersja narzędzia (obecnie: 2.007). A Ty pobrałeś starą wersję 2.005 z serwisu Instalki:

 

# AdwCleaner v2.005 - Logfile created 11/14/2012 at 20:49:14

# Running from : C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\AdwCleaner_www.INSTALKI.pl.exe

 

Wersja ma znaczenie. Im nowsza, tym więcej definicji adware i poprawki. Na przyszłość: proszę takich programów nie pobierać z Instalek i podobnych tylko ze strony domowej.

 

Reszta zadań poprawnie wykonana. Tylko poprawki zostały:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\o1394bul.sys -- (o1394bul)

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome nadal widać tę stronę startową Funmoods i wtyczki vShare:

 

========== Chrome  ==========
 
CHR - homepage: "http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzztAyByD0F0ByE0B0A0DtN0D0Tzu0CtAtCyBtN1L2XzutBtFtBtFtDtFtAyEyE&cr=537770223"
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Otwórz Mój komputer, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

W środku jest plik Preferences. Skopiuj go na Pulpit, umieść na jakimś serwisie hostingowym i podaj tu link. Plik zedytuję i wyślę z powrotem byś go wstawił na miejsce.

 

 

 

 

.

[Furmann1]

a może po prostu od instaluje google chrom??? Nie używam.

[picasso]

Możesz odinstalować całkowicie. Przy deinstalacji zaznacz usuwanie plików użytkownika. Po tej akcji zrób nowy (już ostatni) log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Furmann1]

Proszę

OTL.Txt

[picasso]

Zadania wykonane. Możemy kończyć:

 

1. Nie zauważyłam, że jeszcze jeden obiekt jest "not found" i należy go potraktować Delete FXP Files:

 

========== Files/Folders - Created Within 30 Days ==========
 
File not found -- C:\Documents and Settings\All Users\Menu Start\Programy\Rollercoaster Tycoon 3

 

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie usuń.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie posiadasz:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: odinstaluj wszystkie podane tu pozycje Adobe / Java / Silverlight, zastąp najnowszymi wersjami, zaktualizuj systemowy Internet Explorer (to że nie używasz nie zwalnia z tego obowiązku) i Skype.

 

Gadu-Gadu 7.0 też zakreślam, bo wersja: archaiczna, niezdolna prawidłowo obsłużyć własną sieć, słabo zabezpieczona. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK.

 

 

 

.

[Furmann1]

Wszystko zrobiłem .Powinno być ok.

Mam tylko jeszcze jedno pytanie z innej beczki. Na skype jak rozmawiam z ludźmi to oni mnie nie słyszą tylko jakieś charczenie .Co to może być??

[picasso]

Furmann1, miałeś zaktualizować Skype. Jeśli to już zrobiłeś i masz z nim problem, załóż nowy temat w dziale Software o Skype i podaj więcej szczegółów (jaki sprzęt, jakie sterowniki dźwiękowe).

 

Temat czyszczenia komputera rozwiązany. Zamykam.

 

 

 

.