RobertM15 Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Witam, Windows Vista Home Premium 32B w czasie kiedy jest podłączony do Internetu jest pojawia się wirus "Policja - Cyberprzestępczość". Jeżeli przy starcie systemu nie ma połączenia z internetem, system działa bez blokowania wirusem. Skan OTL wykonał się bez problemu, choć wykonywał się bardzo długo - ok. 1,5 godziny, szczególnie przy pozycji "skanowanie zabezpieczeń Firefox". Także skanowanie Gmer’em nie przebiegło bez problemu. Skanowanie pełne w trybie normalnym kilkukrotnie zakończone BSOD’em. Dopiero w trybie awaryjnym, po dwukrotnym BSOD’zie w końcu pełny skan wykonany. Nie mogę poradzić sobie samodzielnie, więc proszę o pomoc. Pozdrawiam, OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2012 Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Od razu będę usuwać i szczątki po ArcaBit. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Marta\taskmgr.exe C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl C:\Program Files\Mozilla Firefox\updated\extensions\arcabit@www.arcabit.pl netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8F45A7FB-2178-41A8-8ECC-1A11589A2DF9}] :OTL IE - HKLM\..\SearchScopes\{7C778CBF-296D-48E2-8BBD-DA23F2412D40}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{E673692D-D93A-4A1E-917C-CD4A05605833}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl" IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{7C778CBF-296D-48E2-8BBD-DA23F2412D40}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/acala3gp/{23FCDBBC-EABD-4AFB-A73E-49DD9AF1E255}?q={searchTerms}" IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e33fbd84-07c8-11e1-93a1-002186742203&q={searchTerms}" IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{E673692D-D93A-4A1E-917C-CD4A05605833}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl" FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll File not found O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html () O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). 2. Przez Panel sterowania odinstaluj adware Pasek narzędzi AOL 5.0, Internet Explorer Toolbar 4.6 by SweetPacks, Update Manager for SweetPacks 1.1, vShare.tv plugin 1.3. 3. Google Chrome: W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj vshare plugin. Wyczyść Historię. 4. Firefox: wyczyść ze śmieci i naleciałości aktualizacyjnych poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
RobertM15 Opublikowano 15 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2012 Kroki naprawcze wykonane. Poniżej skany z OTL i AdwCleaner: OTL2.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2012 Zgłoś Udostępnij Opublikowano 16 Listopada 2012 Wszystko zrobione. 1. Drobna poprawka po używaniu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome pozostały wtyczki vShare: CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll Google Chrome nie pozwala wtyczek usuwać, tylko je wyłączać. Usuwanie wtyczek jest skomplikowane (wymagana edycja bezpośrednia pliku Preferences). Owszem, możemy to robić, ale może nie warte zachodu. Proponuję przeinstalować Google Chrome na czysto (bez kopiowania starego profilu użytkownika). 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do usunięcia. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Antywirus do wymiany. Zainstalowany stary AVG 2011, najnowsza edycja to 2013. Odinstaluj poprzez Panel sterowania, następnie z poziomu Trybu awaryjnego popraw narzędziem AVG Remover. Przed instalacją najnowszego wyłącz zbędny stary systemowy Windows Defender: uruchom msconfig i w kartach Uruchamianie + Usługi odfajkuj dwa wpisy. 6. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu są tu zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11 Odinstaluj te wszystkie pozycje i zastąp najnowszymi wersjami. . Odnośnik do komentarza
RobertM15 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Wszystkie kroki wykonane. Chrome przeinstalowany na czysto. Aktualizacje oczywiście też. Czy na tym możemy zakończyć naprawę? Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Czy na tym możemy zakończyć naprawę? Tak, to już koniec działań. Temat zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi