Robak policyjny + wyskakujące okna przy starcie systemu

[dragon86]

Witam,

 

Chiałbym prosic o pomoc w likwidacji tego dziadostwa. Robaka policyjnego zlikwidowalem ( nie wiem czy w całości ) używając pendriva z kasperskim Wyskakujące okna sa typu runtime visual c++ runtime liberary error.

Ponizej logi

OTL.Txt

Extras.Txt

[picasso]

Infekcja policyjna nieprawidłowo usunięta, nadal pliki na dysku oraz uszkodzona przez infekcję usługa WMI Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Users\misiek\wgsdgsdgdsgsd.exe -- (Winmgmt)

 

Poza tym są ślady infekcji z nośników USB oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Users\misiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
@C:\Windows\Temp:temp
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
rd /s /q C:\found.000 /C
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{8D1AC1C7-9C31-4AB9-B243-693BC9F7BC33}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
IE - HKCU\..\SearchScopes\{8D1AC1C7-9C31-4AB9-B243-693BC9F7BC33}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{9375C753-E4D4-44F8-9E2B-4E8CB9FDC598}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6R8wWX0359&i=26"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [MSConfig] "C:\Users\misiek\xxgfrdqs.exe" File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Otwórz Google Chrome i w Rozszerzeniach odmontuj Babylon Chrome OCR, Web Assistant.

 

3. Przez Panel sterowania odinstaluj adware 50 FREE MP3s +1 Free Audiobook!, Incredibar Toolbar on IE and Chrome, Internet Explorer Toolbar 4.6 by SweetPacks, Pasek narzędzi AOL 5.0, pdfforge Toolbar v6.6, SweetIM for Messenger 3.7, Web Assistant 2.0.0.478, Web Optimizer. A także zbędny Akamai NetSession Interface, archaiczny Mozilla Firefox 3.0.8, równie stary Skaner on-line mks_vir oraz wszystkie wystąpienia Adobe + Java. Przy deinstalacji Firefox przy pytaniu o usuwanie danych użytkownika odpowiedz twierdząco. Jeśli przed deinstalacją chcesz z Firefox ocalić zakładki + hasła (i nic więcej), skorzystaj z MozBackup.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras), USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner z punktu 3.

 

 

 

.

[dragon86]

Witam,

 

Dziekuje za pomoc. Poniżej wymagane pliki. Przy startowaniu sytemu nadal pojawiaja sie te okna z runtime.

UsbFix.txt

OTL.Txt

AdwCleanerS1.txt

[picasso]

Zadania wykonane, mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Files
C:\Program Files\mozilla firefox
C:\Windows\TempFile
G:\SoftonicDownloader_dla_allplayer.exe
 
:OTL
CHR - Extension: No name found = C:\Users\misiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bmbgdmijgopggjaelphhajpjldacbnba\1.0_0\
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

 

Przy startowaniu sytemu nadal pojawiaja sie te okna z runtime.

 

Przepisz dokładnie jak ten komunikat wygląda. Ja tu w logu obecnie już nie widzę infekcji.

 

 

 

.

[dragon86]

Witam,

 

W załączeniu ponowny log oraz te wyskakujące okienka bo jest takich 7.Pojawiły mi sie jakis czas temu ale nie było ich az tak dużo.Obecnie jedno wyskakuje przy wyborze użytkownika pozostałe w trakcie ładowania systemu.

OTL.Txt

[picasso]

Ten błąd sugeruje wadę pliku systemowego rundll32.exe. Czy próbując naprawiać infekcję nie posunąłeś się aby za daleko tykając ten plik Windows? Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

 

 

 

.

[dragon86]

Witam,

 

Dzieki za dlasza pomoc. Co do tych okienek to one wyskaiwały mi wczesniej jeszcze przed infekcja policyjna. Co do pytania o ingerncje w ten plik to szczerze mówiąc swiadomie tego napewno nie zrobilem bo nawet nei wiedziąłbym jak, nie moge sobie przypomnieć kiedy rozpoczął mi sie ten problem z okienkami i w jakich okolicznościach. pnizej plik o ktory prosiłaś Nie nam sie ale przegladajac chyba wesoło nie jest

sfc.txt

[picasso]

Jest spora grupa plików wykrytych jako uszkodzone i nienaprawialne. Tu niestety naprawa, o ile podejmiemy się tego, wymagać będzie podstawienia świeżych plików ze sprawnego systemu, bo w Twoim brak poprawnych kopii w repozytorium (komunikaty "Could not reproject corrupted file ...; source file in store is also corrupted").

 

1. Podaj mi jeszcze skan na ich wystąpienia. Uruchom SystemLook i do skanu wklej:

 

:filefind
comrepl.exe.mui
msadco.dll
WsmAuto.dll
UIAutomationCore.dll.mui
11d270261a8a76ec3dea2b85e334a0d0
5861d9857971181f9dfad7b851b81f81
6f6886aeb49a7651efd1631de10cdf5c

 

Klik w Look.

 

2. Sprawdź czy części (uszkodzenia manifestów) nie da się naprawić w inny sposób. Tzn. uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Przedstaw wynikowy C:\Windows\Logs\CBS\checksur.log.

 

 

 

.

[dragon86]

Witam ,

 

Poniżej logi o które prosiłaś.Tak czytałem że do podmiany potrzebna bedzie płyta z sytemu vista tylko ze do laptopa takiej nie mam da rade to jakoś inaczej zrobić.

SystemLook.txt

checksur.txt

[picasso]

Musisz poczekać nieco, naprawa jest bardziej finezyjna. Potrzebuję zebrać odpowiednie pliki do naprawy z mojego wirtualnego systemu Vista. To potrwa...

 

 

 

.

[dragon86]

Ok zdaje sobie sprawę..... będę cierpliwie czekał

 

 

Czekając na rozwiazanie z tymi okienkami mogę posprzatać porzednie rzeczy poinstalować programy ?

[dragon86]

damy rade dalej coś z tym podziałać

[picasso]

dragon86, mówiłam że potrzebuję czasu na to, by uruchomić wirtualny system i precyzyjnie dobrać wersje komponentów.