Wirus Polizja

[mysteriis]

Witam!

 

Piszę do Was z prośbą, która jak widzę, na Forum już się pojawiła.

Urpezjmie proszę o pomoc w pozbyciu się wirusa Polizja z mojego komputera.

 

Poniżej załączam raporty FRST

 

pozdrawiam,

Michał

FRST.txt

Addition.txt

[picasso]

Na początek zaznaczę, że system jest w dramatycznym stanie aktualizacji!

 

Microsoft Windows XP Professional Dodatek Service Pack. 1 (X86) OS Language: Polish

Internet Explorer Version 6

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Michał\Dane aplikacji\cache.dat [135168 2002-09-20] () 
C:\Documents and Settings\Michał\Dane aplikacji\cache.dat
C:\Documents and Settings\Michał\Dane aplikacji\cache.ini
HKLM\...\Winlogon: [system] lsass.exe No File
Winlogon\Notify\crypt: crypts.dll [X]
HKCU\...\Policies\Explorer: [NoBandCustomize] 0
HKCU\...\Policies\Explorer: [NoMovingBands] 0
HKCU\...\Policies\Explorer: [NoCloseDragDropBands] 0
HKCU\...\Policies\Explorer: [NoSetTaskbar] 0
HKCU\...\Policies\Explorer: [NoToolbarsOnTaskbar] 0
HKCU\...\Policies\Explorer: [NoSaveSettings] 0
HKCU\...\Policies\Explorer: [ClassicShell] 0
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=vlt
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=vlt
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
HKCU\Software\Microsoft\Internet Explorer\Main,ICQ Search = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=vlt
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=vlt
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml
FF Extension: OneClickDownloader - C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\9sfnxklx.default\Extensions\OneClickDownload@OneClickDownload.com
DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} http://mks.com.pl/skaner/SkanerOnline.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

System zostanie odblokowany, zaloguj się w Trybie normalnym i przeprowadź kolejne działania:

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Przez Dodaj/Usuń programy odinstaluj szczątki Symantec: LiveUpdate 2.5, Norton WMI Update, Symantec Network Driver Update. Popraw narzędziem Norton Removal Tool.

 

4. Zrób nowe logi: skan FRST (bez Addition), OTL oraz GMER. Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

.

[mysteriis]

Niestety, ale problem powtarza się nadal.

Otrzymałem taki oto wynik, w postaci pliku fixlog.txt

 

Być może problemem jest, iż kopiuję tekst do notatnika na komputerze z rosyjskim systemem windows? Otrzymuję wówczas komunikat, że skopiowany tekst przestaje być kodowany w systemie UNICODE. <= Z tą kwestią już sobie poradziłem. Załączam zatem jeszcze jeden fixlog.txt, jeśli to ma jakieś znaczenie.

 

Ponadto, restart komputera po korzystaniu z FRST robię "ręcznie", ponieważ inaczej nie umiem. Nie pojawia się żaden komunikat, jak w przypadku OTL. Nie wiem, czy to ma jakieś znaczenie, ale na wszelki wypadek piszę.

 

Proszę o pomoc.

 

pozdrawiam,

Michał

 

Fixlog.txt

Fixlog.txt

[picasso]

Ostatni fixlog wykazuje wykonania zadania (usunięcie wpisów infekcji), więc nie rozumiem gdzie leży problem. Zrób nowy skan z FRST.

 

 

 

.

[mysteriis]

W załączniku

FRST.txt

[picasso]

Podaj mi skan dodatkowy na katalogi Autostart. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Documents and Settings\Michał\Menu Start\Programy\Autostart
Folder: C:\Documents and Settings\All users\Menu Start\Programy\Autostart

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[mysteriis]

W załączniku

Fixlog.txt

[picasso]

Czy na pewno problem nadal występuje? Ja tu kompletnie nic nie widzę, infekcja została już usunięta. Rozumiem, że konto Michał jest cały czas tym właściwym i nie ma innego konta? Zrób dla porównania raporty z OTL.

 

 

.

[mysteriis]

Przy kolejnym uruchomieniu system zadziałał normalnie!

Hurra, hurra, hurra!

 

Zaraz zajmę się kolejnymi poleconymi przez Ciebie krokami.

 

Dziękuję serdecznie!

Michał

[picasso]

Po wykonaniu działań miałeś przedstawić nastyępujący zestaw raportów:

 

4. Zrób nowe logi: skan FRST (bez Addition), OTL oraz GMER. Dołącz log AdwCleaner.

 

 

.