Skocz do zawartości

"Wirus policyjny"


Rekomendowane odpowiedzi

Witam,

Dziś dopadło i mnie. Komputer został zablokowany wirusem policyjnym.

W trybie awaryjnym zastosowałem narzędzie ComboFix (teraz wiem, że nie powinienem, ale artykuły m.in. na wp.pl sugerowały to narzędzie jako najlepsze na tego wirusa).

Na szczęście system działa.

Jednakże po uruchomieniu komputera pojawia się komunikat (podaję sens):

 

rundll

niemożliwe było uruchomienie c:/...../wgsdgsdgdsgsd.exe

 

Rozumiem więc, że zostały jeszcze jakieś "śmieci" i nie wszystko jest OK.

 

Załączam logi z OTL i ComboFix i bardzo proszę o ich analizę.

 

Pozdrawiam

Tomasz

Extras.Txt

OTL.Txt

ComboFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pojawia się błąd, bo ComboFix nie usunął wcale wszystkich składników infekcji, został skrót startowy runctf.lnk infekcji. Poza tym, ComboFix na chama wyrzucał adware LiveVDO / vShare, robota niedokładna, to się powinno deinstalować w pierwszej kolejności tradycyjną drogą i trzeba będzie poprawiać. Po trzecie, ComboFix posunął się za daleko i usunął prawidłowe komponenty, czyli deinstalator Heroes of Might and Magic oraz plik muzapp.exe od Samsung Kies

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\IsUn0415.exe

c:\windows\SysWow64\muzapp.exe

 

- - - - USUNIĘTO PUSTE WPISY - - - -

.

AddRemove-Heroes of Might and Magic™ III Armageddon's Blade - c:\windows\IsUn0415.exe

 

 

1. Przez Panel sterowania odinstaluj adware Browsers Protector, vShare Plugin, vShare.tv plugin 1.0. Od razu również przestarzały i słabo dziś wiarygodny Spybot - Search & Destroy.

 

2. Przez SHIFT+DEL skasuj folder C:\Windows\SysWow64\System32. To nieprawidłowa ścieżka utworzona przez instalator Samsung Kies.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
IE - HKLM\..\SearchScopes\{1EBDE35C-F521-4B51-B106-AED26E2B33F8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=bbff68a8-8a44-11e1-af3f-8dc56f11c083&q={searchTerms}"
IE - HKLM\..\SearchScopes\{4DD6DE47-F853-4971-96FB-40C2B644FAB1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=cf38589e-ae1f-11e0-8e2c-f0bf9719842b&q={searchTerms}"
IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKU\S-1-5-21-3292938827-2393635595-2093255491-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-3292938827-2393635595-2093255491-1000\..\SearchScopes\{1EBDE35C-F521-4B51-B106-AED26E2B33F8}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SVEF_plPL436"
IE - HKU\S-1-5-21-3292938827-2393635595-2093255491-1000\..\SearchScopes\{9C1AA2BE-C6DD-4BF0-9571-E7BFA5D5F6C1}: "URL" = "http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SVEF_plPL436"
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Zadania pomyślnie wykonane. Przejdź do finalizacji:

 

1. Drobna korekta na domyślne wyszukiwarki IE po użyciu AdwCleaner + inne szczątki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

%userprofile%\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie wyczyść resztę: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu obecnie posiadasz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish

"{AC76BA86-7AD7-5760-0000-A00000000003}" = Japanese Fonts Support For Adobe Reader X

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)

"SMALLBUSINESS" = Microsoft Office Small Business 2007

 

W podsumowaniu: odinstaluj wszystkie wyliczone tu starsze wersje Adobe / Java / Silverlight i zastąp najnowszymi, zainstaluj pakiet SP3 dla Office 2007.

 

 

Uwaga poboczna: widzę zainstalowany koszmarek Gadu-Gadu 10. Program ciężki, reklamodawczy i mało użytkowy. Zainteresuj się alternatywnymi programami z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...