Zablokowany komputer - Trojan 'policyjny'

[FidoVelFidel]

Witam,

Ponownie mam problem z wirusem blokującym komputer. Znowu użytkownik (w.sadren) zainfekował maszynę, jest to jedyne zainfekowane konto na komputerze. Logi z OTL załączyłem.

 

Jeszcze raz proszę o pomoc w rozwiązaniu problemu.

Z góry dziękuję.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Adobe ARM] C:\Documents and Settings\All Users\Dane aplikacji\ifgxpers.exe (Корпорация  Майкрософт)
O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2013-01-23 16:59:03 | 000,098,136 | ---- | M] () -- C:\Documents and Settings\w.sadren\Dane aplikacji\csrsss.exe
[2013-01-23 16:59:02 | 002,250,054 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\1.bmp
[2013-01-23 16:58:46 | 000,448,130 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\1.jpg
 
:Reg
[-HKEY_USERS\S-1-5-21-2285557862-609683106-1543088294-1115\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada powinna zniknąć.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Edytowane 7 Marca 2013 przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso