Blokada pc-weelsof

[Reck]

Witam, proszę o sprawdzenie logów z zainfekowanego pc.

OTL.Txt

Extras.Txt

[picasso]

Infekcja została już czymś naruszona, główny plik skype.dat został skasowany. Zostało jeszcze wejście rejestru, skąd infekcja chce się ładować, oraz plik poboczny skype.ini.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\Documents and Settings\MasterAdmin\Dane aplikacji\skype.ini
 
:OTL
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=5452CB70-348C-4309-AAAE-40A191CB78FD&apn_sauid=B7CF2D8E-8BA0-4DA0-A9CE-36D53216FBA9
O4 - HKLM..\Run: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, McAfee Security Scan Plus (sponsor paczek Adobe).

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Reck]

Dziękuję za tak szybką odpowiedź, nowe logi:

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadania pomyślnie ukończone. Kończymy:

 

1. Drobne poprawki. Nie zauważyłam, że masz zainstalowanego starego cracka TNod User & Password Finder do ESET = usuń. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\MasterAdmin\Dane aplikacji\ESET

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj cały Windows (krytyczny poziom aktualizacji) i wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.11)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI (11.0.02)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"AVG" = AVG 2011

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 

 

 

.

[Reck]

Bardzo dziękuję za pomoc.

Pozdrawiam