Wirus "policyjny", żaden tryb awaryjny nie działa

[Jezny]

Witam,

Złapałem popularnego ostatnio wirusa "policyjnego", ekran z żądaniem zapłacenia grzywny pojawia się przy starcie systemu, gdy odłącze Internet pojawia się sam tylko biały ekran. Przy próbie odpalenia któregokolwiek trybu awaryjnego komputer samoczynnie resetuje się, pokazując wcześniej na dosłownie 0,01 sekundy niebieski ekran z informacją.

 

Do tej pory zrobiłem skan z bootowalnego pendrive programem Kaspersky Rescue Disk 10, ale nic nie pomógł. Więcej nic nie próbowałem, bo większość sposobów o których przeczytałem w Internecie wiąże się z trybem awaryjnym, który u mnie niestety również nie działa.

 

Zrobiłem również log przez OTLPE, który wrzucam.

 

Proszę o pomoc bo jednak chciałbym uniknąć formata.

Z góry dziękuję,

Jezny 

OTL.Txt

[picasso]

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Files
D:\Documents and Settings\Bartek\Dane aplikacji\cache.dat
D:\Documents and Settings\Bartek\Dane aplikacji\cache.ini
 
:Reg
[HKEY_USERS\Bartek_ON_D\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. System powinien zostać odblokowany, więc loguj się normalnie do Windows i:

 

2. Zrób raporty z FRST (ma powstać też plik Addition).

 

 

 

.

[Jezny]

Krok pierwszy wykonany, system już normalnie startuje z Windows.

 

Wklejam linki do raportów z FRST ( nie wiem czemu, ale nie mogę ich załączyć, tak jak w poprzednim poście ):

http://wklej.org/id/1120901/  -  Addition

http://wklej.org/id/1120902/  -  FRST

 

Dziękuję i pozdrawiam,

Jezny

[picasso]

Wklejam linki do raportów z FRST ( nie wiem czemu, ale nie mogę ich załączyć, tak jak w poprzednim poście ):

A jaki błąd się pojawił?

 

Teraz dokończenie usuwania wpisu infekcji oraz adware:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: D:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => D:\Program Files\Ask.com\UpdateTask.exe
HKLM\...\Run: [ApnUpdater] - "D:\Program Files\Ask.com\Updater\Updater.exe" [x]
HKLM\...\Run: [sweetIM] - D:\Program Files\SweetIM\Messenger\SweetIM.exe [114992 2011-06-02] (SweetIM Technologies Ltd.)
HKCU\...\Run: [] - [x]
HKCU\...\Winlogon: [shell] explorer.exe,D:\Documents and Settings\Bartek\Dane aplikacji\cache.dat 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120811&user_guid=F9FFEDA947D84561A6530DA5AA22FA2D&machine_id=de52166ada72749b004dcfac117584fc&browser=IE&os=win&os_version=5.1-x86-SP3
URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=0FA3DC13-19A9-4A70-B878-462DFAC38599&apn_sauid=AF60EFC3-91F2-4A16-B97C-B13D2A4ABC3F
BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - D:\Program Files\StartNow Toolbar\Toolbar32.dll ()
BHO: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM - Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - D:\Program Files\StartNow Toolbar\Toolbar32.dll ()
Toolbar: HKCU -Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File
S3 gdrv; \??\D:\WINDOWS\gdrv.sys [x]
S2 usbhc; \??\D:\WINDOWS\system32\drivers\usbhc.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, StartNow Toolbar, SweetIM for Messenger 3.5

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder D:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Jezny]

Gdy poprzednio próbowałem załączyć pliki pojawiła się tylko informacja, że zakończyło się ono niepowodzeniem. Może to mój błąd, nie wiem, teraz wszystko załączone bez problemu.

 

Wszystkie kroki wykonane.

Dodaje wszystkie potrzebne załączniki, w tym wszystkie które były w folderze AdwCleaner.

 

Dziękuję i pozdrawiam,

Jezny

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Quarantine.txt

[picasso]

Akcje pomyślnie przeprowadzone. Kolejne działania:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

D:\WINDOWS\Tasks\At1.job
D:\WINDOWS\Tasks\At2.job
D:\WINDOWS\system32\searchplugins
D:\WINDOWS\system32\Extensions
D:\Documents and Settings\Bartek\Dane aplikacji\Mipony
D:\Program Files\Mozilla Firefox
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Porządki po narzędziach. Przez SHIFT+DEL skasuj foldery:

 

D:\FRST

D:\Kaspersky Rescue Disk 10.0

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej programy: KLIK.

 

Internet Explorer Version 6
 

==================== Installed Programs =======================
 

Adobe Flash Player 10 ActiveX (Version: 10.1.85.3) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (Version: 11.1.102.55) ----> wtyczka dla Firefox/Opera

Adobe Reader 9.4.1 - Polish (Version: 9.4.1)

Java™ 6 Update 21 (Version: 6.0.210)

Microsoft Silverlight (Version: 4.1.10329.0)

Opera 12.16 (Version: 12.16.1860)

Tlen.pl (Version: 6.0.3.77)

 

M.in. stara przeterminowana Java jest przyczyną tej infekcji.

 

 

 

.

[Jezny]

Jeżeli chodzi o OTL, to na partycji D, mam tylko OTLPE, a tam nie ma opcji Sprzątanie, chyba, że coś źle patrze. Co zrobić w tej sytuacji?

 

Natomiast w przypadku aktualizacji podanych programów, to mam pobrać tylko Windows XP Service Pack 3 (PL) i to załatwi całą sprawę, czy też te inne np. Java, itd ? Wersje programów, które mi podałaś do aktualizacji, to te które mam na komputerze, czy te które mam pobrać?

 

Wrzucam też fixloga.

 

Dziękuję i pozdrawiam,

Jezny

Fixlog_02-09-2013_12-13-08.txt

[picasso]

Jeżeli chodzi o OTL, to na partycji D, mam tylko OTLPE, a tam nie ma opcji Sprzątanie, chyba, że coś źle patrze. Co zrobić w tej sytuacji?

Źle popatrzyłam, oczywiście to opuść. W OTLPE nie ma tej opcji, normalny OTL nie był tu używany.

 

 

Natomiast w przypadku aktualizacji podanych programów, to mam pobrać tylko Windows XP Service Pack 3 (PL) i to załatwi całą sprawę, czy też te inne np. Java, itd ? Wersje programów, które mi podałaś do aktualizacji, to te które mam na komputerze, czy te które mam pobrać?

Przecież Ty już masz SP3:

 

Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) OS Language: Polish

 

Masz zaktualizować tylko to co zacytowałam. Ta lista to są wersje aktualnie obecne w Twoim systemie, przecież po wersjach widać że stare, więc nie mogłabym tego "polecać" jako aktualizacji do pobrania.

 

 

 

.

[Jezny]

Wszystkie kroki wykonane, programy zaktualizowane.

 

Dzięki wielkie za rozwiązanie problemu, bo sam bym sobie z tym nie poradził.

 

Pozdrawiam, Jezny