Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja wirusa "policyjnego" stan po użyciu Rescue Disk

Uzda

Przez Uzda
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Uzda

Uzda

Opublikowano
Opublikowano

Witam!

 

Otrzymałem dzisiaj komputer od ciotki.

 

Był (czy nadal jest - nie wiem) zainfekowany wirusem "policyjnym". Z tego co się zorientowałem to dość popularna ostatnio infekcja.

Po zapoznaniu się z propozycjami wujka Google, użyłem metody z odpaleniem bootowalnego cd z Kaspersky Rescue Disk (bodajże 10.0).

W tej chwili komp jest po skanowaniu i wykryciu (usunięciu) 119 Trojanów i 29 adware.

 

Po pierwszym uruchomieniu wyskoczył błąd:

"Wystąpił błąd ładowania

C:\Users\Dorota\AppData\local\Temp\wpbt0.dll

Nie można odnaleźć określonego modułu"

 

Przy odpaleniu SecurityCeck wyskakuje:

"Line -1:

Error: Varaible must be of type 'Object' "

 

Więc nie wiem już czy jest ok, czy nie. Co prawda "wirus policyjny" chyba zniknął, bo już to słynne okno, którego nie można wywalić do paska ani nic z nim zrobić zniknęło....

 

Ponieważ jednak w kwestiach kompów Wam najbardziej ufam, proszę o informację, na podstawie logów, czy system jest już bezpieczny, czysty etc. Ponieważ ciotka ciągle nawala jakieś bazy w excelu, wolałbym za wszelką cenę uniknąć formata.

 

Z góry serdecznie dziękuję za pomoc.

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Nie wszystko załatwione, po infekcji pozostała uszkodzona usługa Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stop_Pending] -- C:\Users\Dorota\AppData\Local\Temp\wpbt0.dll -- (Winmgmt)

 

Inne pliki / wpisy. Jest tu też adware. Ogólnie: spora robota jeszcze.

 

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Babylon Chrome Toolbar, Babylon toolbar, BrowserProtect, PC Performer, Smiley Bar for Facebook, SpecialSavings oraz Pasek narzędzi AOL 5.0 (o ile nie był instalowany celowo).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Dorota\AppData\Roaming\Ifinby
C:\Users\Dorota\AppData\Roaming\Diaqol
C:\Users\Dorota\AppData\Roaming\Ceak
C:\ProgramData\0tbpw.pad
C:\ProgramData\0tbpw.js
C:\ProgramData\IBUpdaterService
C:\Windows\System32\Extensions
C:\Windows\System32\searchplugins
C:\Windows\tasks\PC Performer_DEFAULT.job
C:\Windows\tasks\PC Performer_UPDATES.job
C:\Windows\System32\custmon32i.dll
C:\Program Files\File Scout
C:\Users\Dorota\AppData\Local\Temp*.html
C:\Users\Dorota\AppData\Roaming\mozilla
C:\Program Files\Mozilla Firefox
F:\RECYCLER
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:OTL
IE - HKLM\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-3907241028-2537040225-921838017-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=111212_nobl_5012_6&babsrc=SP_ss&mntrId=6fda951e0000000000000016eac79c8e"
IE - HKU\S-1-5-21-3907241028-2537040225-921838017-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={80372DF4-3C71-4189-BA07-EB722B53F6F3}&mid=3e00e8cbe5b44cd0ac7222cd5c72a61c-ffada5b8a500ad23a06d5e2273a0f02827a84d48&lang=pl&ds=ik011&pr=&d=2012-12-12 17:22:02&v=13.2.0.4&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-3907241028-2537040225-921838017-1001\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (no name) - {bb184e6d-26d1-461a-9226-b93ca8da2af9} - No CLSID value found.
O4 - HKLM..\Run: [Windows Defender]  File not found
O4 - HKU\S-1-5-21-3907241028-2537040225-921838017-1001..\Run: [Almuge] C:\Users\Dorota\AppData\Roaming\Diaqol\usge.exe File not found
O4 - HKU\S-1-5-21-3907241028-2537040225-921838017-1001..\Run: [Mobile Partner] C:\Program Files\Wi-Fi Modem\Wi-Fi Modem File not found
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
O20 - AppInit_DLLs: (c:\progra~2\browse~1\25986~1.67\{c16c1~1\browse~1.dll) -  File not found
SRV - [2012-12-12 22:08:21 | 000,608,608 | ---- | M] () [Auto | Running] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService)
SRV - File not found [Auto | Stopped] -- C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe -- (BrowserProtect)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...