Wirus blokujący komputer - policja, departament cyberprzestępczości

[ninnlil]

Piszę w imieniu kolegi, nie mamy pojęcia kompletnie jak się za to zabrać. Widziałam, że skrypty pod kątem tego wirusa są budowane indywidualnie. Problem z blokadą pojawił się w momencie, gdy kolega instalował program do torrentów, prawdopodobnie zainsdtalował mu się jakiś toolbar, ale nie jestem w stanie tego sprawdzić, gdyż kolega mieszka w innym miejscu. Załączam logi, proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Log z OTL nieprawidłowo skonfigurowany, sekcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania + zbyt duży zakres plików na 60 dni (ma być 30 dni). Co do sytuacji: jest tu infekcja oraz adware (to instalowane przez użytkownika, jego nieuwaga przy instalacji aplikacji sponsorowanej).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Prowizor\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad
C:\Documents and Settings\Prowizor\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx
C:\Documents and Settings\Prowizor\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Documents and Settings\Prowizor\Ustawienia lokalne\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\Prowizor\Dane aplikacji\Babylon
C:\Documents and Settings\Prowizor\Dane aplikacji\OpenCandy
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://isearch.glarysoft.com/?src=iehome" 
IE - HKU\S-1-5-21-329068152-682003330-687777228-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://isearch.glarysoft.com/?src=iehome"
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCyEzzyDzztB0AyBtA0ByC0F0C0CtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=148944198"
IE - HKLM\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = "http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch"
IE - HKU\S-1-5-21-329068152-682003330-687777228-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108921&babsrc=SP_ss&mntrId=501a6fcc00000000000000148582a73b"
IE - HKU\S-1-5-21-329068152-682003330-687777228-1003\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCyEzzyDzztB0AyBtA0ByC0F0C0CtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=148944198"
IE - HKU\S-1-5-21-329068152-682003330-687777228-1003\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = "http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Funmoods.

 

3. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych wymaż isearch.glarysoft.com i ustaw opcję na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Glary Search na Google, po tym Glary Search usuń z listy. W Rozszerzeniach odinstaluj Funmoods.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj: przypominam o poprawnej konfiguracji + dodatkowo zaznacz opcję Pomiń pliki Microsoftu. A pliku Extras po raz drugi nie doączaj. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso