Wirus policyjny + biały monitor

[bogus466]

Witam serdecznie.

Dzisiaj otrzymałem laptop znajomego, którego po raz kolejny zawirusował.

Powiedział mi, że pojawia się wirus policyjny wyłudzający pieniądze (czytałem już o tym wirusie

prawdopodobnie na Waszym forum )

Jednakże kiedy włączam komputer, na pulpicie znajdują się ikony, po chwili wszystko znika

i pojawia się biały ekran. Próbując kombinacji ctrl + alt + del wyskoczy ramka, jednak po wybraniu

np. menadżer zadań, ekran znów robi się biały.

Załączam skan z OTL.

Bodajże przy ostatniej naprawie antywirus miał być usunięty, a widzę go w menu, więc

pewnie znajomy nie posłuchał mojej rady. Sam zmienię tego antywirusa, pytanie tylko, który

program sprawdzi się najlepiej?

 

Extras.Txt

OTL.Txt

[picasso]

Jest tu też nieprawidłowo usunięty ArcaBit.
 
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
%userprofile%\Dane aplikacji\skype.dat
%userprofile%\Dane aplikacji\skype.ini
%userprofile%\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit
C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
netsh firewall reset /C
 
:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - %userprofile%\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKU\S-1-5-21-1325072439-2419310910-506584239-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1325072439-2419310910-506584239-1006\..\Toolbar\WebBrowser: (no name) - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - No CLSID value found.
O4 - HKLM..\Run: [ABRegmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe File not found
O4 - HKLM..\Run: [ArcaCheck] C:\Program Files\ArcaBit\ArcaVir\ArcaCheck.exe /startup File not found
O4 - HKLM..\Run: [AvMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe File not found
O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
SRV - File not found [Disabled | Stopped] -- C:\PROGRA~1\ArcaBit\ARCAUP~1\update.exe -- (AVUpdate)
SRV - File not found [Disabled | Stopped] -- C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE -- (AVTasks2)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe -- (AVBackup)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snp325.sys -- (SNP325)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Przez Dodaj / Usuń programy odinstaluj ArcaBit Prerequistes 2007 Final. A jeśli wpis nie będzie tam widzialny, skorzystaj z tego narzędzia: KLIK.
 
3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).



.

[bogus466]

Witam, przepraszam za tak długą przerwę. A więc skan wykonany, OTL w załączniku. Ale jest pewien problem. Polecony program nie odnalazł tego pliku a ja nie posiadam klucza rejestracyjnego czy coś w ten deseń, ponieważ to nie mój komputer. Także nie udało mi się odinstalować powyższego programu. Reszta wykonana bez zarzutu. Pozdrawiam.

OTL.Txt

[picasso]

Polecony program nie odnalazł tego pliku a ja nie posiadam klucza rejestracyjnego czy coś w ten deseń, ponieważ to nie mój komputer. Także nie udało mi się odinstalować powyższego programu.

 

Nie rozumiem o co chodzi z kluczem rejestracyjnym. Padło gdzieś takie pytanie? Skoro narzędzie Microsoftu nie wykryło takiej pozycji, to po prostu usunę ten wpis z klucza Uninstall ręcznie.

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{25A57349-5C6B-45DC-A891-52FD59493EE5}]
 
:OTL
O4 - HKU\S-1-5-21-1325072439-2419310910-506584239-1006..\Run: [] C:\Documents and Settings\Paweł Dzierżyński\Pulpit\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PAWEDZ~1\USTAWI~1\Temp\iMSPQMn.sys -- (iMSPQMn)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL, nowy skan OTL zbędny. Log będzie krótki = wklej wprost w poście.

 

 

 

.

Edytowane 11 Czerwca 2013 przez picasso
12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso