Wirus policja 400zł

[kodi]

Witam.

Tak jak spora część internatów ma problem z wirusem "Twój komputer został zablokowany..."

Jestem totalnym amatorem, ale udało mi się zrobić pliki extras oraz otl.

Proszę o sprawdzenie i poradę co dalej.

Dziękuję

 

 

zapomniałem dodać, że zainstalowałem cclenera ale nic to nie dało.

 

Witam raz jeszczcze.

Przywróciłem system z listopada 2012r. i na pierwszy rzut oka wszystko ok.

Czy jest to możliwe?

 

Dziękuję i pozdrawiam

Extras.Txt

OTL.Txt

[picasso]

Przywracanie systemu w Windows 7 to kompleksowy proces cieniowania woluminu, więc jego użycie owszem likwiduje infekcję. I to oznacza, że dostarczone logi z OTL są już nieaktualne. Proszę o nowy świeży zestaw logów. I nie tylko infekcja policyjna ale i adware jest. Potrzebne jak mówię nowe logi wiernie oddające stan bieżący.

 

 

 

.

[kodi]

Dziękuję za zainteresowanie.

Już jestem szczęśliwy że udało mi się wykopać tego wirusa, ale skoro może być lepiej to czemu nie.

 

Podsyłam pliki, które oddają stan na tę chwilę,

 

jeszcze raz dziękuję i pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, BabylonObjectInstaller, Incredibar Toolbar on IE, IB Updater 2.0.0.533, IB Updater Service, SweetIM for Messenger 3.7, SweetPacks Toolbar for Internet Explorer 4.6, Update Manager for SweetPacks 1.0.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={1906104A-76B0-482E-BFF8-E77CC2676749}"
IE - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_7_&babsrc=SP_ss&mntrId=de93f5df000000000000b870f4701fb4"
IE - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\SearchScopes\{9AE10881-CE48-4501-8F6E-85887369F2D9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=7E89B6E9-30A7-47B7-B6F0-5CC18D6F660F&apn_sauid=029701EB-2059-458E-92B0-55C55B2A2441"
IE - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQM2260fq&i=26"
IE - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={1906104A-76B0-482E-BFF8-E77CC2676749}"
IE - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O3 - HKU\S-1-5-21-1672491792-4208287687-4098588790-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbwwan.sys -- (ewusbmbb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
 
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Nadia\AppData\Local\Avg2013
C:\Users\Nadia\AppData\Roaming\AVG
C:\Users\Nadia\AppData\Roaming\OpenCandy
C:\Users\Nadia\AppData\Roaming\Mozilla
C:\Program Files\Mozilla Firefox
netsh advfirewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

 

[kodi]

Witam serdecznie.

Wreszcie znalazłem czas by wszystko według zaleceń zrobić.

Mam nadzieję, że zrobiłem to dobrze.

W załączeniu potrzebne pliki.

 

Jeszcze raz dziękuję za pomoc.

AdwCleanerS2.txt

OTL.Txt

[picasso]

Tym razem log z OTL źle zrobiony, opcja Rejestr ustawiona na Wszystko, a miało być Użyj filtrowania. Wszystko zrobione. Tylko poprawki:

 

1. Mini poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner oraz usunięcie odpadkowych folderów TuneUp. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\Default User\AppData\Roaming\TuneUp Software
C:\Users\Nadia\AppData\Roaming\TuneUp Software

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome została odpadkowa wtyczka Babylon:

 

========== Chrome  ==========
 
CHR - plugin: Babylon ToolBar (Enabled) = C:\Users\Nadia\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll

 

Usunięcie tego wymaga edycji pliku preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\Nadia\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję i odeślę do podstawienia.

 

 

 

.

Edytowane 23 Lutego 2013 przez picasso
23.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso