wirus policyjny

[aleksanderkarpinski]

Witam,

 

bardzo proszę o fachową pomoc w usunięciu tego ustrojstwa z komputera.

W załączeniu logi z OLT.

 

Pozdrawiam

Aleksander Karpiński

Extras.Txt

OTL.Txt

[picasso]

Są tu aż dwa warianty tej infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\pi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\pi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\pi\wgsdgsdgdsgsd.exe
C:\ProgramData\0tbpw.pad
C:\ProgramData\8eWh899L.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-356219948-2307684317-3843684133-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-356219948-2307684317-3843684133-1004\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [On_Demand | Stopped] --  -- (Bthsepyuwpa)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.3, SweetIM Toolbar for Internet Explorer 3.9, TheBflix.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[aleksanderkarpinski]

Dzięki za pomoc. Zrobione.

Podsyłam logi. Jakieś poprawki?

 

Pozdrawiam

AK

OTL.Txt

AdwCleanerR1.txt

[picasso]

Coś nie wygląda na właściwą kolejność działań, AdwCleaner miał być użyty przed skanem OTL, a tu wygląda, że było na odwrót (nie widać zmian w wyszukiwarkach IE, które prowadzi AdwCleaner). Na przyszłość: kolejność działań jest ścisła. Poza tym faktem wszystko zrobione. Ale pojawił się w starcie jakiś dziwny plik trz784C.tmp. Czyli kolejne działania:

 

1. Poprawki na to czego nie widać w skanie a co na pewno zrobił AdwCleaner + usunięcie trz784C.tmp. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\pi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz784C.tmp
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso