Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus "Policja"

laci1

Przez laci1
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

laci1

laci1

Opublikowano
Opublikowano

Witam. Załączam logi z OLT , udało mi się je zrobic w trybie awaryjnym z wierszem poleceń. Inne tryby wylogowuje. Proszę o pomoc w naprawieniu problemu. Chciałbym się jeszcze dowiedzieć czy ewentualne polecenia które bedę musiał wpisywać da się jakoś skopiować ? (teraz korzystam ze sprawnego komputera , musze odinfekować laptopa).

Pozdrawiam i proszę o pomoc.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Chciałbym się jeszcze dowiedzieć czy ewentualne polecenia które bedę musiał wpisywać da się jakoś skopiować ? (teraz korzystam ze sprawnego komputera , musze odinfekować laptopa).

 

1. Na pendrive zapisujesz plik tekstowy z instrukcjami:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Users\Agata\AppData\Roaming\skype.dat
C:\Users\Agata\AppData\Roaming\skype.ini
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.toggle.com/?lang=pl&q={searchTerms}
IE - HKLM\..\SearchScopes\???????????????????: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms}
IE - HKLM\..\SearchScopes\㡻㔴㙂㍂ⴸ㜲ぅ㐭㘹ⴷㅂ䐴㜭䑁䅄䐰ㄶ䑃絅: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms}
IE - HKU\S-1-5-21-2217141685-2280444316-400325483-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.toggle.com/?lang=pl&q={searchTerms}
IE - HKU\S-1-5-21-2217141685-2280444316-400325483-1000\..\SearchScopes\???????????????????: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms}
IE - HKU\S-1-5-21-2217141685-2280444316-400325483-1000\..\SearchScopes\{0B7F6699-4808-4D0C-8D2E-B3479028DBA6}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=1ffc3eee-1222-4b2a-9998-b8932b1ce7c3&apn_sauid=97EA4475-9D69-4D21-BF3D-E12D195C7F4B
IE - HKU\S-1-5-21-2217141685-2280444316-400325483-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=6e9fb67f000000000000cc52af579c51
IE - HKU\S-1-5-21-2217141685-2280444316-400325483-1000\..\SearchScopes\㡻㔴㙂㍂ⴸ㜲ぅ㐭㘹ⴷㅂ䐴㜭䑁䅄䐰ㄶ䑃絅: "URL" = http://search.toggle.com/?lang=pl&q={searchTerms}
O4 - HKLM..\Run: [] File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Uruchom Tryb awaryjny z Wierszem polecenia. Wklep polecenie notepad, co uruchomi Notatnik. W nim otwórz plik tekstowy przygotowany w punkcie 1. Następnie w linii komend uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika i klik w Wykonaj skrypt. Zatwierdź restart. System zostaie odblokowany, opuszczasz Tryb awaryjny.

 

3. Przez Panel sterowania odinstaluj adware Alawar Ask Toolbar, Alawar Ask Toolbar Updater, Babylon toolbar on IE, BrowserCompanion, DealPly, FoxTab PDF Reader, Update_DealPly oraz McAfee Security Scan Plus (sponsor paczek Adobe).

 

4. W Google Chrome: W Rozszerzeniach powtórz deinstalację Alawar Toolbar, Browser Companion Helper, DealPly. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z lisy Search the web. Z listy stron startowych usuń search.babylon.com, ustaw "Po uruchomieniu" na "Otwórz stronę nowej karty". Wyczyść Historię.

 

5. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko wykonane. Zostały poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. AdwCleaner kasował z rejestru te rozszerzenia Google Chrome:

 

***** [Rejestr] *****
 

Klucz Usunięto : HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaoahhbmfiopgbablmbaehhfjfbgob

Klucz Usunięto : HKLM\SOFTWARE\Google\Chrome\Extensions\clbfjfbnelcflpgpklppgplejolacbej

 

Ale zostały w preferencjach jeszcze wtyczki o tych samych identyfikatorach:

 

========== Chrome ==========
 

CHR - plugin: registryAccess (Enabled) = C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaoahhbmfiopgbablmbaehhfjfbgob\7.15.1.22870_0\background/registryAccess.dll

CHR - plugin: (Enabled) = C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\clbfjfbnelcflpgpklppgplejolacbej\1.0.5_0\chromeNPAPI.dll

 

Usunięcie tego wymaga edycji pliku preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję i odeślę do podmiany.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...