Wirus "policyjny" usunięty ale chciałbym być pewny, że wszystko OK

[spawciu]

Jak w temacie - komputer kuzyna był zainfekowany wirusem policyjnym.Udało mi się go usunąć (taką mam nadzieję) ale chcę być pewien, że system jest czysty zanim go oddam. Załączam logi: OTL, Extras i gmer. Proszę o pomoc i ewentualne porady, pozdrawiam serdecznie - Staszek

OTL.Txt

Extras.Txt

gmer_log.txt

[picasso]

Nie opisałeś w jaki sposób / czym usuwałeś infekcję, ale log mówi że był tu w obrotach ComboFix. Nie przedstawiłeś wyników pracy (raport C:\ComboFix.txt), a na temat samego używania: KLIK.

 

Na dysku nadal pliki infekcji, podróbki "Skype". Poza tym, są szczątki adware. Akcja:

 

1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, pdfforge Toolbar v1.1.2. Jeśli któryś wpis stawi opór, kontynuuj, sprawy będzie reweryfikował i tak punkt 3.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1809718071-2854962754-420477737-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4:64bit: - HKLM..\Run: [PrzyspieszKomputer] C:\Program Files\Przyspiesz Komputer\PrzyspieszKomputer.exe (Przyspiesz Komputer)
O4 - HKLM..\Run: []  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1809718071-2854962754-420477737-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1809718071-2854962754-420477737-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Files
C:\Users\Start\AppData\Roaming\skype.dat
C:\Users\Start\AppData\Roaming\skype.ini
C:\Program Files\Przyspiesz Komputer
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner + zaległy C:\ComboFix.txt.

 

 

 

.

[spawciu]

Rzeczywiście nie napisałem co i jak - przepraszam. W akcji był Combofix, załączam brakujący log i idę wykonać pozostałe zalecenia.

 

Wszystko wykonane w/g instrukcji. Przy próbie wywalenia Ask był komunikat o braku uprawnień a przy pdfforge błąd, poniżej screen. Dołączam pozostałe logi. Pozdrawiam

ComboFix.txt

AdwCleanerS1.txt

OTL.txt

[picasso]

Do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty skleiłam. Log z ComboFix nie pochodzi z właściwego uruchomienia, były dwa (to bez sensu było) i log właściwy to ten w C:\Qoobox, ale zostaw to już.

 

Akcje wykonane, sfinalizuj sprawy:

 

1. Korekta po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Uruchom ten diagnostyk MS: KLIK. Wybierz tryb nieautomatyczny. Sprawdź czy na liście deinstalacyjnej są widoczne te które się nie dały: Ask Toolbar, pdfforge Toolbar v1.1.2. AdwCleaner nie usuwał tych wejść.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio uruchamiany z Pulpitu, ale pliku nie widzę w logu. Pobierz ponownie ComboFix i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Start\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie, uprzątnij pozostałe: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

4. Odinstaluj wszystkie wyliczone poniżej aplikacje i zastąp najnowszymi: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.2 MUI
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla pozostałych)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

To m.in. stara dziurawa Java prowadzi do infekcji "policyjnej".

 

 

 

.

[spawciu]

Wszystko wykonane, dziękuję serdecznie za pomoc. Pozdrawiam serdecznie życząc cierpliwości w pomocy innym. Nie byłbym sobą gdybym nie przeznaczył kilka złociszy na zasilenie budżetu serwisu ;-). Powodzenia.

Edytowane 6 Marca 2013 przez picasso
Dziękuję bardzo. Temat rozwiązany. Zamykam. //picasso