Zablokowany komputer

[Miroslaw]

Proszę o pomoc w usunięciu infekcji komputera

Zablokowane zostało konto użytkownika , konto administratora jast dostępne

Ktoś podszywa sie pod policję

w załączeniu przesyłam logi komputera.

Nie wiem czy to komplet potrzebnych informacji

Jeżeli czegoś brakuje to proszę o instrukcję jak dla informatycznego analfabety

z poważaniem Mirosław P

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\AVG10
C:\Documents and Settings\All Users\Dane aplikacji\AVG2012
C:\Documents and Settings\All Users\Dane aplikacji\f-secure
C:\Documents and Settings\All Users\Dane aplikacji\sebbdoeaqcdjyri
C:\Documents and Settings\All Users\Dane aplikacji\tmziytgxwpuqtaq
C:\Documents and Settings\All Users\Dane aplikacji\Temp
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
IE - HKLM\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
IE IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=90BE503D-893D-4797-8A71-346B9F810856&ind=2012110319&n=77ee5def&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={0C7B5E1F-4F07-4C2E-917E-0581E4CD89D9}&mid=0214b0d2d8e747d09b87d16d5b39c29b-1cc9a9be33f21b89c765d60ebff5898715e3046a&lang=pl&ds=AVG&pr=pr&d=2012-08-15 15:58:15&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_6&babsrc=SP_ss&mntrId=9028658700000000000000241ddd2b68
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://search.yahoo.com/search?p={searchTerms}&fr=chrf-devicevm&type=STDVM
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={0C7B5E1F-4F07-4C2E-917E-0581E4CD89D9}&mid=0214b0d2d8e747d09b87d16d5b39c29b-1cc9a9be33f21b89c765d60ebff5898715e3046a&lang=pl&ds=AVG&pr=pr&d=2012-08-15 15:58:15&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{A479023B-6FAA-4da3-AE77-4CCC6C292C54}: "URL" = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=90BE503D-893D-4797-8A71-346B9F810856&ind=2012110319&n=77ee5def&psa=&st=sb&searchfor={searchTerms}
FF - HKLM\Software\MozillaPlugins\@ei.VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4zEI\Installr\4.bin\NP4zEISB.dll File not found
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2012-12-09 17:04:03 | 000,000,000 | ---D | M]
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll File not found
O3 - HKLM\..\Toolbar: (VideoDownloadConverter) - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\Toolbar\WebBrowser: (VideoDownloadConverter) - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O8 - Extra context menu item: &Search - http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p=HJxdm073YYpl&si=pconverter&a=90BE503D-893D-4797-8A71-346B9F810856&n=2012110319&cv=1 File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, AVG Security Toolbar, Babylon toolbar.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Miroslaw]

przesyłam pliki

Ale nie pomogło albo coś żle zrobiłem konto użytkownika nadal jest zablokowane

AdwCleanerS1.txt

OTL.Txt

[picasso]

W pierwszym OTL była widoczna ta blokada:

 

O20 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006 Winlogon: Shell - (C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat) - C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat ()

 

W obecnym już jej nie widać. Ale:

 

1. Powyższy wpis kierował na konto Mirek, jest konsekwentnie cały czas zalogowane konto Iwona a nie Mirek. To które konto jest zablokowane? Logi z OTL muszą być wykonane z poziomu konta, które jest zainfekowane.

 

2. Nie ma owszem śladów wykonania skryptu nie przetworzone pewne obiekty, które były zadane w skrypcie. W katalogu C:\_OTL powstał log z usuwania. Przedstaw go co się działo. Log ma rozszerzenie *.LOG. By dało się go doczepić w załącznikach, należy zmienić mu ręcznie nazwę na *.TXT.

 

3. Aktualnie w raporcie ujawnił się nowy wpis na koncie Iwona:

 

O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [NTRedirect] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Iwona\Dane aplikacji\BabSolution\Shared\NTRedirect.dll",Run File not found

 

Zanim przejdę do usuwania, proszę o klarowną odpowiedź które konto jest zainfekowane.

 

 

.

[Miroslaw]

Na wstępie informowałem że jestem informatycznym analfabetą

Zablokowane jest konto Mirek

Logi rzeczywiście robiłem z konta administratora a nie zablokowanego Mirek

Zaraz zrobię log z zainfekowanego konta ale prosiłbym o instrukcję jak tego dokonać.

Zaraz po wejściu na konto Mirek wyświetla się tablica z logo polizia i nic na nim nie potrafię zrobić bo tablica przykrywa wszystko

Wysyłam dwa logi nie wiem o który ci chodziło więc wysłałem oba

07222013_103826.txt

07222013_143548.txt

[picasso]

Logi z usuwania pokazują, że nic się nie wykonało, a dlatego że przy przeklejaniu z posta do okna OTL wszystkie linie się się skleiły. Treść przeklejona do okna OTL musi mieć idealnie takie same przejścia do nowej linii jak podane w poście. Jeśli przeklejanie je skleja, to w pierwszej kolejności przeklej treść do Notatnika i popraw przejścia do nowej linii, dopiero po tym przeklej do okna OTL. Ale nie powtarzaj poprzedniego skryptu, gdyż:

 

 

Zablokowane jest konto Mirek

Logi rzeczywiście robiłem z konta administratora a nie zablokowanego Mirek

Potrzebne logi zrobione z poziomu konta Mirek:

 

1. Przenieś OTL ze ścieżki konta C:\Documents and Settings\Iwona\Pulpit\OTL.exe do ścieżki niezależnej od konta C:\OTL.exe.

 

2. Uruchom komputer w Trybie awaryjnym z Wierszem polecenia, zaloguj się na konto Mirek. W linii komend wpisz C:\OTL.exe i ENTER, co uruchomi OTL. Zrób raporty z konta Mirek i dostarcz.

 

 

 

.

[Miroslaw]

Muszę zacząć od początku, nie doczytałem co napisałaś żeby nie powtarzać skrypty z kont administratora a ja to zrobiłem przerobiwszy skrypt w notatniku z Twoimi wcześniejszymi sugestiami.

O dziwo konto Mirek zostało odblokowane

Wysyłam Ci logi po wykonaniu skryptu i zaraz potem wszedłem na konto odblokowane i zrobiłem logi po odblokowaniu

w załączeniu przesyłam te trzy pliki. Z góry przepraszam za takie dzałanie.

OTL.Txt

Extras.Txt

07232013_135851.txt

[picasso]

Muszę zacząć od początku, nie doczytałem co napisałaś żeby nie powtarzać skrypty z kont administratora a ja to zrobiłem przerobiwszy skrypt w notatniku z Twoimi wcześniejszymi sugestiami.

 

O dziwo konto Mirek zostało odblokowane

Zostało odblokowane, bo plik infekcji konta Mirek był planowany do usuwania. Ale to częściowe usuwanie. Trzeba doczyścić (już pusty) wpis startowy infekcji i kilka innych drobnostek. Akcja:

 

1. Nadal są do deinstalacji Ask Toolbar Updater, Update for Mipony Download Manager. Każdy z nich jest na innym koncie, więc musisz po kolei zalogować się na każde, by to widzieć na liście Dodaj/Usuń.

 

2. W Google Chrome na koncie Mirek jest nadal strona startowa adware:

 

========== Chrome ==========
 

CHR - homepage: http://search.babylon.com/?affID=110824&tt=4812_6&babsrc=HP_ss&mntrId=9028658700000000000000241ddd2b68

 

Wejdź do opcji i wyszukaj to ustawienie. Jeśli jednak nie będzie to widoczne, zrób ręczną edycję. Zamknij Google Chrome. Otwórz w Notatniku plik:

 

C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj frazę homepage i zastąp adresy.

 

3. Będąc zalogowanym na koncie Mirek uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_USERS\S-1-5-21-2025429265-1482476501-725345543-1006\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_USERS\S-1-5-21-2025429265-1482476501-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=902800241DDD2B68&affID=119357&tt=210713_nt&tsp=4951
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_6&babsrc=SP_ss&mntrId=9028658700000000000000241ddd2b68
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://search.yahoo.com/search?p={searchTerms}&fr=chrf-devicevm&type=STDVM
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{A479023B-6FAA-4da3-AE77-4CCC6C292C54}: "URL" = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=90BE503D-893D-4797-8A71-346B9F810856&ind=2012110319&n=77ee5def&psa=&st=sb&searchfor={searchTerms}
O2 - BHO: (BHO Class) - {DD92DE22-ED91-4560-B788-DEE2B26612E6} - C:\Program Files\DeviceVM\Browser Configuration Utility\IEHelper.dll File not found
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [NTRedirect] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Iwona\Dane aplikacji\BabSolution\Shared\NTRedirect.dll",Run File not found
O8 - Extra context menu item: &Search - http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p=HJxdm073YYpl&si=pconverter&a=90BE503D-893D-4797-8A71-346B9F810856&n=2012110319&cv=1 File not found
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll) - File not found
[2013-07-22 10:59:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Extensions
[2013-07-22 10:59:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\searchplugins
[2013-07-22 10:59:22 | 000,000,000 | ---D | C] -- C:\Program Files\MiPony
[2013-07-23 14:04:37 | 000,000,342 | ---- | M] () -- C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job
[2013-07-22 14:40:57 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Mirek\Dane aplikacji\cache.ini
 
:Commands
[emptytemp]

 

(przypominam o przejściach do nowej linii)

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Powstanie nowy log z wynikami usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log utworzony podczas usuwania OTL.

 

 

 

.

[Miroslaw]

Zrobiłem zgodnie z wskazówkami

przesyłam logi

07232013_160333.txt

OTL.Txt

[picasso]

Prawie wszystkie akcje wykonane, z wyjątkiem:

 

2. W Google Chrome na koncie Mirek jest nadal strona startowa adware:

 

========== Chrome ==========
 

CHR - homepage: http://search.babylon.com/?affID=110824&tt=4812_6&babsrc=HP_ss&mntrId=9028658700000000000000241ddd2b68

 

Wejdź do opcji i wyszukaj to ustawienie. Jeśli jednak nie będzie to widoczne, zrób ręczną edycję. Zamknij Google Chrome. Otwórz w Notatniku plik:

 

C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj frazę homepage i zastąp adresy.

Czy jest jakiś problem z wykonaniem tego zadania?

 

 

.