"Komputer został zablokowany" - Tym razem laptop/Vista

[Asot]

Witam,

powtórka z rozrywki, komputer miałem już zainfekowany, tym razem dopadło laptopa mojej mamuśki z systemem Windows Vista.

 

Ost. pomogliście mi idealnie, mam nadzieję, że i teraz nie zawiedziecie za co BARDZO dziękuję.

OTL.Txt

Extras.Txt

[picasso]

Nie ukończyłeś poprzedniego tematu: KLIK. My musimy sprawdzić skutki akcji, nic na słowo i wiarę. Często się okazuje, że trzeba poprawiać. Poza tym: skrypt to nie jest koniec tematu! W ogóle nie zadane czynności końcowe. Proszę się tam zgłosić z danymi, o które zostałeś poproszony.

 

 

---

A tu: aż dwa warianty infekcji "policyjnej" (uruchamiane z kont user i Mazinia) oraz adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={40A7EDE7-4DD3-41E7-A049-9E2F7A0F2C54}"
IE - HKU\S-1-5-21-1165318469-2283434935-938905380-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=24D5AF69-197E-4FB3-84C0-112D7B7D3434&apn_sauid=C9026C69-9D8E-43A3-A741-84EC6E0F133F"
IE - HKU\S-1-5-21-1165318469-2283434935-938905380-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={40A7EDE7-4DD3-41E7-A049-9E2F7A0F2C54}"
IE - HKU\S-1-5-21-1165318469-2283434935-938905380-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=24D5AF69-197E-4FB3-84C0-112D7B7D3434&apn_sauid=C9026C69-9D8E-43A3-A741-84EC6E0F133F"
IE - HKU\S-1-5-21-1165318469-2283434935-938905380-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={40A7EDE7-4DD3-41E7-A049-9E2F7A0F2C54}"
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [recinfo] RecInfo.exe File not found
O4 - HKU\S-1-5-21-1165318469-2283434935-938905380-1000..\Run: [Okbon] C:\Users\user\AppData\Roaming\Ytonny\rian.exe ()
O4 - HKU\S-1-5-21-1165318469-2283434935-938905380-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
 
:Files
C:\Users\user\AppData\Local\Microsoft\Windows\2575
C:\Users\user\AppData\Roaming\hellomoto
C:\Users\user\AppData\Roaming\Sizowa
C:\Users\user\AppData\Roaming\Ydsyma
C:\Users\user\AppData\Roaming\Ytonny
C:\Users\Mazinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:Reg
[HKEY_USERS\S-1-5-21-1165318469-2283434935-938905380-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 17 Grudnia 2012 przez picasso
17.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso