Wirus Polska Policja Cyberprzestępczość Department

[Maja]

Witam. Wczoraj na moim laptopie pojawił się tenże wirus. Jestem na trybie normalnym, ale z odłączoną siecią. Przesyłam logi i proszę o pomoc . Nie chciały się normalnie załączyć

http://wklej.org/hash/91b646fc150/ OTL

http://wklej.org/hash/8b2176e0b15/ Extras

[picasso]

Nie chciały się normalnie załączyć

 

Co masz na myśli?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3312_4&babsrc=SP_ss&mntrId=d64cdede000000000000bc7737c9348a"
IE - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\SearchScopes\{8A375BFF-AAF8-4742-9306-FF2DB1E4CD09}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\SearchScopes\{FEC7A1AD-809E-485F-BC33-3AE5F9449F25}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=41C671ED-F634-44C8-A372-291553B7F94E&apn_sauid=34B58C6C-B84D-4E1F-83E4-0B20941782AD"
IE - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.4.6\bh\BabylonToolbar.dll File not found
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.4.6\BabylonToolbarTlbr.dll File not found
O3 - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKU\S-1-5-21-2430389454-1828079442-2808629229-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab" (Reg Error: Value error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater. Otwórz Google Chrome i w Rozszerzeniach odmontuj uTorrentControl_v2.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Maja]

Oto logi.

A jeśli chodzi o problem z załączeniem to wystąpił błąd IO- cokolwiek to znaczy.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystkie działania pomyślnie przeprowadzone, tylko poprawki zostały:

 

1. Ustawienie domyślnych wyszukiwarek Internet Explorer po używaniu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W Google Chrome zostały wtyczki adware Conduit:

 

========== Chrome  ==========
 
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\HP\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll
CHR - plugin: Conduit Radio Plugin (Enabled) = C:\Users\HP\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/np-cwmp.dll

 

Usunięcie tego wymaga większej pracy (bezpośrednia edycja kodu pliku Preferences Google Chrome) i to zrobię za Ciebie. Otwórz Mój komputer, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Users\HP\AppData\Local\Google\Chrome\User Data\Default

 

Tam jest plik Preferences. Skopiuj go na Pulpit, następnie umieść na jakimś serwisie hostingowym i podaj link. Plik pobiorę, zedytuję, odeślę do podstawienia.

 

 

A jeśli chodzi o problem z załączeniem to wystąpił błąd IO- cokolwiek to znaczy.

 

Może infekcja miała wpływ...

 

 

 

 

.

[Maja]

http://hostuje.net/file.php?id=a5d46829e6b3d926b2657045d16d8404 Preferences

Mam nadzieję, że się prawidłowo załadowało na tą stronę, nie bardzo się znam na informatycznych sprawach

A i początkowe logi wysyłałam z innego komputera, który ma w sobie jakieś zablokowane wirusy, więc może one coś zbobrowały w tym dodawaniu załączników

[picasso]

1. Przesyłsam zedytowany plik: KLIK. Rozpakuj ZIP. Zamknij Google Chrome (nie może być uruchomione podczas tej operacji!) i wymień pliki Preferences. Następnie uruchom Google Chrome, by sprawdzić czy nie ma błędu.

 

2. Zrób nowy (już ostatni) log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

A i początkowe logi wysyłałam z innego komputera, który ma w sobie jakieś zablokowane wirusy, więc może one coś zbobrowały w tym dodawaniu załączników

 

Jakie "wirusy"? To ten system też trzeba sprawdzić ...

 

 

 

.

[Maja]

To tamtego grata może za tydzień,jak będę miała czas. Jakoś jeszcze biedak chodzi, ale on jest używany w awaryjnych sytuacjach (jak ta). A, wg Kasperskyego te wirusy to trojany

 

No, załączam.

OTL.Txt

[picasso]

Edycja pomyślnie przeprowadzona. Kończymy:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj wszystkie pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java™ 6 Update 24 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Uwaga poboczna: widzę, że masz zainstalowane Gadu-Gadu 10. Program jest bardzo zasobożerny, dręczy reklamami, a ostatnio zamknięto kilka serwisów integrowanych z GG10. Obejrzyj jak wygląda GG11, a jeszcze lepiej alternatywne programy z obsługą sieci Gadu: WTW, AQQ. Kadu, Miranda. Opisy: KLIK.

 

 

To tamtego grata może za tydzień,jak będę miała czas.

 

Jak znajdziesz czas załóż tu nowy temat z logami tamtego systemu.

 

 

 

.

[Maja]

Dziękuję bardzo za całą pracę i czas włożone w pomoc. Należy Ci się ogromny szacunek za to, co robisz. Na pewno wpadnę, żeby "uleczyć" graciaka.