Wirus policjant

[Freegy]

Witam

Na komputerze znajomej pojawił sie ten szkodnik który jak widzę jest tu znany. 3 miesiące temu pojawił sie 1 raz i jakoś sobie z tym poradziła a dzis pojawił sie ponownie. Po 2 restartach prooblem "znikną". Poprosiłem jej o zrobienie wymaganych u was logów przy pomocy otl i prosił bym o pomoc.

Extras.Txt

OTL.Txt

[picasso]

Z tym "znikaniem" samodzielnie nie do końca wierzę, bo są jawne świady uruchamiania ComboFix i określone modyfikacje, które tworzy ten program... W dostarczonych tu raportach widać nadal szczątki tej infekcji "policyjnej", a także są do czyszczenia i śmieci adware. Akcja:

 

1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Softonic toolbar on IE and Chrome, uTorrentControl2 Toolbar.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\Marzena\AppData\Roaming\skype.ini
C:\ProgramData\1.bmp
C:\ProgramData\1.jpg
C:\Users\Marzena\AppData\Roaming\Igiw
C:\Users\Marzena\AppData\Roaming\Media Finder
C:\Users\Marzena\AppData\Roaming\Ruax
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=ca1a9bae000000000000001a4d51533f
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Users\Marzena\AppData\Roaming\MEDIAF~1\EXTENS~1\GENCRA~1.DLL ()
O4 - HKLM..\Run: [RaidCall] C:\Program Files\RaidCall\raidcall.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marzena\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

.

[Freegy]

Wszystko zrobione według zaleceń

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nie wygląda na to, by skrypt został poprawnie wykonany. Przedstaw log z usuwania, jest w katalogu C:\_OTL.

[Freegy]

Podczas próby uruchomienia skryptu przez olt, olt się zawiesza jak i cały komputer

[picasso]

Zapuść skróconą wersję skryptu bez czyszczenia lokalizacji tymczasowych (co wymusza restart):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marzena\AppData\Roaming\skype.ini
C:\ProgramData\1.bmp
C:\ProgramData\1.jpg
C:\Users\Marzena\AppData\Roaming\Igiw
C:\Users\Marzena\AppData\Roaming\Ruax
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marzena\AppData\Local\Temp\catchme.sys -- (catchme)
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
O4 - HKLM..\Run: [RaidCall] C:\Program Files\RaidCall\raidcall.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

 

Klik w Wykonaj skrypt. Wklej do posta wynik przetwarzania skryptu.

 

2. Zrób nowy log OTL z opcji Skanuj.

 

 

 

.

Edytowane 24 Maja 2013 przez picasso
24.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso