Wirus policyjny - cyberprzestępczość

[bondal02]

Witam! Napotkałem problem popularny na tym forum, czyli "wirus policyjny". Mój komputer został zablokowany. Udało mi się uruchomić go w trybie awaryjnym, znlazłem to forum i dalej postępowałem wg instrukcji tutaj zamieszczonych. W załącznikach logi z programu OTL.

Bardzo proszę o pomoc.

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=15e98933-d9be-11e1-9196-60eb69962541"
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=15e98933-d9be-11e1-9196-60eb69962541&q={searchTerms}"
IE - HKU\S-1-5-21-514395214-2264652309-3348024795-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=15e98933-d9be-11e1-9196-60eb69962541"
IE - HKU\S-1-5-21-514395214-2264652309-3348024795-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=15e98933-d9be-11e1-9196-60eb69962541&q={searchTerms}"
IE - HKU\S-1-5-21-514395214-2264652309-3348024795-1000\..\SearchScopes\{4DEBF88C-E192-4025-B3A5-496AC09938A8}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=5c04963e00000000000060eb69962541"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=15e98933-d9be-11e1-9196-60eb69962541&q="
[2012-06-26 23:40:24 | 000,000,000 | ---D | M] (KMPlayer Toolbar) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\9o6luhr6.default\extensions\toolbar@ask.com
[2012-07-29 21:44:02 | 000,000,792 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\9o6luhr6.default\searchplugins\startsear.xml
[2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
[2012-02-08 18:23:59 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-514395214-2264652309-3348024795-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Paweł\wgsdgsdgdsgsd.dll
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar on IE / LiveVDO plugin 1.3 / KMPlayer Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[bondal02]

Postąpiłem wg zaleceń, czekam na dalesze instrukcje.

OTL.Txt

[Landuss]

Infekcja usunięta. Możesz przejść do zadań kończących.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bondal02]

Niestety, chciałem wykonać dziś "zadania kończące" ale wirus powrócił. Wykonałem ponowny skan OTL. Proszę o pomoc.

 

 

Edytuję post bo pod nieobecność moderatorów moja sytuacja się zmieniła. Uruchomiłem komputer 2 stycznia "normalnie" (blokada nie pojawiła sie). AVG wykrył wirus. Przy ponownym włączaniu systemu pojawił się błąd, który pojawia się teraz zawsze przy starcie systemu. oto jego treść " wystąpił problem podczas uruchamiaia pliku C:\Users\PAWE~1\wgsdgsdgdsgsd.dll Nie można odnaleźć określonego modułu." 5 stycznia zrobiłem gruntowny skan AVG który wykrył kolejne trzy konie trojańskie. Komputer działa ale czasem dziwnie się zacina co nie działo się prędzej, jestem kompletnie zdezorientowany, ale używam komputera z powodu trwajacej sesji załączam logi (tez z "2" są z dzisiaj) i proszę o pomoc.

Edytowane 10 Stycznia 2013 przez picasso
Zbędne raporty usuwam. Nowe logi w następnym poście. //picasso

[Landuss]

Mineło trochę czasu więc dobrze będzie jak wykonasz nowe logi aby przedstawić obecną sytuację. Te powyżej zostaną usunięte.

[bondal02]

aktualne logi

OTL.Txt

Extras.Txt

[Landuss]

Według najnowszego loga system znowu jest zainfekowany tym samym co poprzednio.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[bondal02]

przy włączeniu komputera, błąd już nie wystąpił.

OTL.Txt nowy.txt

[picasso]

Zadania wykonane, czyli przeprowadź kroki końcowe:

 

1. Drobne korekty. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6C63517E-0307-4D3B-9EC4-04EEDAB8FC54}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6C63517E-0307-4D3B-9EC4-04EEDAB8FC54}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6CAA8C49-36C9-427A-8042-D92887703EE1}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\linkscanner]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\PROTOCOLS\Handler\linkscanner]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń wszystkie Adobe / Java i zastąp najnowszymi, zaktualizuj Firefoxa oraz cały Windows (konsekwentnie nadal widać brak SP1 + IE9): KLIK.

 

 

 

.