Polska Policja Cyberprzestępczość Departament

[anubis]

Proszę o pomoc w usunięciu wirusa. Poprzednio pomogliście usunąć mi podobnego wirusa ale ten dodatkowo włącza kamerkę w laptopie z napisem że wszystko jest monitorowane itp.

Ledwo udało mi się odwieść przestraszonego szwagra aby nie płacił...

Windows 7 Home Premium 64 Bit

Z góry Bardzo dziękuję za pomoc !

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Benek\wgsdgsdgdsgsd.exe
C:\Users\Benek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{6C75163D-5FE5-4F8D-8F5E-01D4F0EA7229}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=169CACAF-4264-41FA-A6FF-0FA4FEC60E6F&apn_sauid=58D69658-AFC0-49FC-959C-931C222B6741"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8wBsSXBa&i=26"
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012/09/12 09:21:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4fe22f694b8da@4fe22f694b913.info: C:\Users\Benek\AppData\Roaming\Mozilla\Firefox\Profiles\8332ars5.default\extensions\4fe22f694b8da@4fe22f694b913.info [2012/06/20 21:16:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/09/12 09:21:36 | 000,000,000 | ---D | M]
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opusć Tryb awaryjny, bo blokada ustąpi.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, ADDICT-THING, Incredibar Toolbar on IE, Web Assistant 2.0.0.485, Web Optimizer.

 

3. Firefox zabrudzony adware, ale czyszczenie nie ma sensu, bo tu jest archaiczny dziurawy Firefox 3.6.15. Jeśli chcesz zachować z Liska hasła i zakładki (nic więcej) przed deinstalacją, to skorzystaj z MozBackup. Następnie odinstaluj Firefox, przy pytaniu czy usuwać dane użytkownika wyraź zgodę. Od razu odinstaluj także wszystkie stare Adobe + Java.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[anubis]

Na chwilę obecną nic się nie pokazuję.

Czy wystarczy zaktualizować Adobe Flash, Reader i Javę bez dezinstalacji ?

OTL.Txt

AdwCleanerS1.txt

[picasso]

Kierowałam wyraźnie do przyklejonego tematu, gdzie są jedyne autoryzowane linki pobierania narzędzia. A Ty pobrałeś z pokątnego serwisu (to nie jest strona domowa):

 

# AdwCleaner v2.011 - Log utworzony 07/12/2012 o 10:46:44

# Ścieżka : C:\Users\Benek\Desktop\AdwCleaner_www.INSTALKI.pl.exe

 

Tu tylko przypadkowo udało Ci się pobrać najnowszą wersję. Instalki jako serwis pośredni nie nadążają z aktualizacjami. Nie tak dawno z tego linka była podstawiana stara wersja i użytkownicy ją używali szkodząc sobie, podczas gdy na stronie domowej programu była najnowsza. Na przyszłość: ten program pobieraj tylko z autoryzowanych linków, bo tylko one gwarantują najnowszą wersję programu na czas.

 

 

Czy wystarczy zaktualizować Adobe Flash, Reader i Javę bez dezinstalacji ?

 

Deinstalacja silnie wskazana. Jak się zachowuje "aktualizacja" Java: nie jest usuwana starsza wersja, tylko pojawia się nowa w systemie, co oznacza rozmnożenie Java, stare pozycje i tak trzeba odinstalować. I na razie co innego do wykonania, czyli poprawki:

 

1. Nie odinstalowałeś adware ADDICT-THING. Przeprowadź to.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

4. Zrób nowy log z OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

.

[anubis]

ADDICT-THING - nie widzę tego w dodaj-usuń ani w menu programy.

OTL.Txt

[picasso]

Ja nadal widzę ADDICT-THING w logu. W takim razie ręczne usuwanie:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (ADDICT-THING Class) - {A9F33792-F625-84E4-9B1F-80E2C8AE083B} - C:\ProgramData\ADDICT-THING\bhoclass.dll ()
 
:Files
C:\ProgramData\ADDICT-THING
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{71277DC4-4217-462A-9FF4-62D7815B2C69}]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania, wklej go do posta, bo krótki będzie. Nowy skan OTL nie jest potrzebny.

 

 

 

.

[anubis]

Bardzo Dzięuję, myślę że już będzie dobrze

Pozdrawiam

[picasso]

Log z usuwania miałeś pokazać. Wklej go. I nie zadałam jeszcze kroków końcowych.

[anubis]

Przepraszam, laptop już oddałem w razie co podjadę i zrobię co trzeba.

Na pendrive znalażłem log z OLT ale nie wiem czy to ten o który chodziło.

W razie co proszę o instrukcję. Przez weekend nic się nie pokazało.

[picasso]

To nie jest log z usuwania tylko stary skan OTL z postu numer #5 (usuwam). Tak więc nie mogę potwierdzić wykonania skryptu. Log z usuwania został utworzony w kwarantannie F:\_OTL.

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso