Wirus zablokowany komputer Policja

[kremulator]

Witam, proszę o pomoc w usunięciu wirusa. Poniżej załączam pliki z OLT.

OTL.Txt

Extras.Txt

[picasso]

Czy już tu coś manipulowałeś? Skrót uruchomieniowy infekcji występuje pod nazwą runctf.lnk a nie ctfmon.lnk...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Marcin\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{CBB877FA-F81B-4CA2-9B89-6F956D300ABD}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKLM\..\SearchScopes\{683ADDBB-4A5F-4900-B3B7-8248B60E6B0A}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4ad07534-ad83-11e0-accc-002713391da9&q={searchTerms}"
IE - HKLM\..\SearchScopes\{CBB877FA-F81B-4CA2-9B89-6F956D300ABD}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/ws/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb_031&u=29E4A1CAB418040F3A6FD45037526CEE&q={searchTerms}"
IE - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\SearchScopes\{683ADDBB-4A5F-4900-B3B7-8248B60E6B0A}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4ad07534-ad83-11e0-accc-002713391da9&q={searchTerms}"
IE - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\SearchScopes\{C4253446-EB3D-4804-8943-CEA84F5B119C}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\SearchScopes\{CBB877FA-F81B-4CA2-9B89-6F956D300ABD}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKU\S-1-5-21-2686689607-845414471-3868215988-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Używałeś AdwCleaner, a to oznacza, że należy wykonać korektę domyślnych wyszukiwarek Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Odinstaluj zbędny McAfee Security Scan Plus (nieuważna instalacja Adobe Flash lub Reader = to ich sponsor).

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[kremulator]

Zgadza się, próbowałem samodzielnie pozbyć się blokady... dziękuję uprzejmie za wskazówki, po powrocie do domu zastosuję się do nich.

[picasso]

A jednak nie, z dziś kilka innych przypadków na forum z plikiem o nazwie runctf.lnk. Czyli wygląda to na nowy wariant infekcji.

[kremulator]

Witam ponownie, dopiero dzisiaj znalazłem chwilę wolnego czasu na zajęcie się tym paskudztwem. W tzw międzyczasie na koncie Gość pojawił się System Progressive Protection... Zastosowałem się do powyższych instrukcji. Dziękuję. Załączam plik ze skanowania OLT...

OTL.Txt

[picasso]

W tzw międzyczasie na koncie Gość pojawił się System Progressive Protection...

 

Inne konto niż to z poziomu którego został zrobiony log. To oznacza, że na koncie Marcin jest pewnego typu niewidoczność wpisów na koncie Gość. Ja tu notuję tylko cyfrowy folder tego malware w C:\ProgramData.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\FC4C6A85935B49F60000FC4B6E3D4D1E

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Jest tu bardzo stary Avast. Odinstaluj go przez Panel sterowania, następnie przejdź w Tryb awaryjny Windows i popraw usuwaczem Avast Uninstall Utility.

 

5. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[kremulator]

załączam log ze skanowania Malwarebytes A-M. Przy okazji mam pytanie - czy po odinstalowaniu Avasta mogę zainstalować inny antywirus /nowszą wersję Avast/, czy nie będzie się "gryzł" z Malwarebytes?

mbam-log-2012-11-30 (13-53-17).txt

[picasso]

Wedle spodziewań MBAM namierzył pozostałe komponenty System Progressive Protection na koncie Gość. Oczywiście do usunięcia. Wszystkie wyniki pokazane w programie.

 

 

czy po odinstalowaniu Avasta mogę zainstalować inny antywirus /nowszą wersję Avast/, czy nie będzie się "gryzł" z Malwarebytes?

 

Tu taki był zamiar, że najnowsza wersja antywirusa ma wejść (w domyśle Avast). Co do "zakłóceń": zainstalowałeś MBAM w wersji próbnej, która ma rezydenta. Należy MBAM przestawić na wersję darmową bez strażnika, a wtedy uniknięcie potencjalnych konfliktów z antywirusem. Czyli finalnie na straży będzie Avast, a MBAM do okresowych skanów na żądanie.

 

 

 

 

.

[kremulator]

Bardzo dziękuję za pomoc. Jeszcze jedno pytanie - jak przestawić MBAM na wersję bez strażnika? Rozumiem, że jest możliwość zrobienia tego z menu programu, bez konieczności ponownej instalacji.

[picasso]

Na zakończenie odinstaluj stare Adobe i Java, zastąp najnowszymi wersjami, zaktualizuj Google Chrome: KLIK. Twój log mówi, że aktualnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 23.0.1271.91
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Dodatkowa uwaga na temat Gadu-Gadu 10. Straszny potwór. Zainteresuj się alternatywnymi programami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

Jeszcze jedno pytanie - jak przestawić MBAM na wersję bez strażnika? Rozumiem, że jest możliwość zrobienia tego z menu programu, bez konieczności ponownej instalacji.

 

Przełączenia statusu strażnika dostępne w karcie Ochrona.

 

 

 

.

[kremulator]

dziękuję za pomoc