Wirus policyjny zablokownie komputera

[Cinek220]

Witam serdecznie.

 

Wczoraj mój komputer złapał to ustrojstwo. Dziś oddałem go do informatyka. Problem został częściowo usunięty. Komputer uruchamia się, można korzystać z internetu, lecz przy uruchamianiu systemu pojawia się komunikat, że nie można uruchomić "C:\Users\Marcin\AppData\Local\Temp\wpbt0.dll". Po kliknięciu OK komunikat znika, ale z tego co przejrzałem dotychczas na forum problem całkwicie nie jest rozwiązany. Uruchamiałem CCleaner ale to nic nie pomogło. W związku z tym proszę o pomoc. Komputer z systemem operacyjnym Vista. W załączeniu logi z OTL'a.

 

 

Pozdrawiam

Marcin

OTL.Txt

Extras.Txt

[picasso]

Dziś oddałem go do informatyka. Problem został częściowo usunięty.

 

Co to za "informatyk", który nie umie usunąć takiej prostej infekcji w kompletny sposób? Bład stąd, że nie usunięto skrótu startowego infekcji, który próbuje się uruchamiać (odwołuje się już do innego usuniętego pliku):

 

[2012-12-06 00:04:41 | 000,000,908 | ---- | C] () -- C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

Mam podejrzenie, że ten kto usuwał, robił to z automatu, tzn. ComboFixem. Jest na dysku odświeżony katalog Kosza i katalog Temp. "Coś" to musiało resetować i nasuwa się to narzędzie.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Cinek220]

Zrobiłem zgodnie z zaleceniami i wygląda na to, że już jest ok. Po restarcie komputera błąd już się nie pojawił. Dołączam kolejny log z OTL'a.

 

 

Dzięki za szybką i fachową pomoc.

Pozdrawiam

Marcin

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane, czyli kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu krytyczny poziom aktualizacji Vista (i system odcięty od wsparcia, tylko Vista SP2 może pobierać łaty) oraz zainstalowane:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 37
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 16.0 (x86 pl)" = Mozilla Firefox 16.0 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

W podsumowaniu: odinstaluj starą Java™ 6 Update 2 i wszystkie obiekty Adobe, zainstaluj najnowsze Adobe, zaktualizuj Firefox (masz wersję z krytyczną luką!) oraz wykonaj pełną aktualizację Vista (SP1 + SP2 + IE9 + reszta łat).

 

 

PS. Gadu-Gadu 10 jest tu zainstalowane. Czas się tej makabry pozbyć. Już wydano ciut lepsze GG11, ale proponuję raczej alternatywny program z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.