Ransomware - Cyberprzestępczość - Safecash

[drugiwudzapaczuw]

Witam serdecznie,

 

Zarejestrowałem się tu w celu podobnym jak moi poprzednicy, czyli wirus "blokujący" komputer. Po przeczytaniu i zastosowaniu się do wskazówek tematów przypiętych, wykonałem logi OTL i proszę o pomoc w pokonaniu tego wirusa, postaram się odwdzięczyć na rzecz forum, a z tego co widzę jest taka możliwość.

 

Za wszelki bałagan w systemie przepraszam, ale nie jestem jedynym użytkownikiem tego komputera. Proszę o podanie mi ewentualnych wskazówek jeżeli zrobiłem coś źle w przypadku OTL, gdyż jestem zielony w sprawach większości oprogramowań.

 

Jeszcze raz z góry dziękuję, widzę że ratujecie tutaj wielu, mam nadzieję że i ja wreszcie będę mógł wrócić do swoich zainteresowań. Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\Jes\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={6A421591-3198-4F87-8B5F-08E1C4C7FDF1}"
IE - HKU\S-1-5-21-2025429265-1770027372-1644491937-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={65F74B49-B3B6-4F5A-AC83-1E5CE7609B8C}&mid=&lang=pl&ds=st011&pr=sa&d=2012-06-14 17:14:05&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2025429265-1770027372-1644491937-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQEIRCuDe&i=26"
IE - HKU\S-1-5-21-2025429265-1770027372-1644491937-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={6A421591-3198-4F87-8B5F-08E1C4C7FDF1}"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, DownloadnSave, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, PandoraTV Toolbar, PandoraTV Toolbar Updater, V9 HomeTool, Update Manager for SweetPacks 1.1, Web Assistant 2.0.0.485, Web Optimizer oraz McAfee Security Scan Plus (sponsor paczek Adobe).

 

3. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń isearch.avg.com, skonfiguruj opcję na "Otwórz stronę nowej karty". W Rozszerzeniach odinstaluj AVG Secure Search, DownloadnSave, SweetIM for Facebook.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 19 Grudnia 2012 przez picasso
19.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso