Wirus Polizja na laptopie

[arekw77]

Witam ponownie.

Już dwukrotnie pomogliście mi, mam nadzieję że tym razem będzie podobnie.

Na laptopie w przeglądarce mozilla pojawił mi się komunikat na temat cyberprzestępczości - Polizja.

Teraz nie ma tego problemu (po restarcie) ale bardzo proszę o przejrzenie logów.

GMER.txt

Extras.Txt

OTL.Txt

[htw]

Obowiązkowe logi ogólne + obowiązkowy log pod kątem aktywności rootkit::

FRST - Instrukcja tworzenia raportu
OTL - Instrukcja tworzenia raportu
GMER - Instrukcja tworzenia raportu


Opcjonalny log weryfikacji zabezpieczeń:

SecurityCheck - Instrukcja tworzenia raportu

[arekw77]

Przepraszam. Dodaję log FRST:

FRST.txt

Addition.txt

[picasso]

Oznak infekcji "Polizją" brak, ale system należy wyczyścić z adware. Log z OTL pokazywał drobne adware, niestety FRST wykazuje nową niekorzystną zmianę i o wiele większą ilość nowych adware. Wygląda na to, że nieuważnie coś pobierałeś i na potem będzie do czytania materiał: KLIK.

 

Do przeprowadzenia następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [NTRedirect] - C:\windows\SysWOW64\rundll32.exe "C:\Users\arekw77\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run
HKLM-x32\...\Run: [tuto4pc_pl_16] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=16E7CAF73313FF93&affID=119357&tsp=4975
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms}
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\arekw77\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\arekw77\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {08DF1242-74D0-44C4-86FF-99C542A13CCF} - System32\Tasks\EPUpdater => C:\Users\arekw77\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] ()
Task: {4E19DDF5-3BB0-4B89-A8E3-4BEFB5E42D9A} - System32\Tasks\DigitalSite => C:\Users\arekw77\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] ()
Task: {6D7CF1A1-1B90-4003-BCC7-A211AD4E25F8} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation)
Task: {7E3CEC02-8123-4E44-AC6C-86A6BD8DD516} - System32\Tasks\BonanzaDealsUpdate => C:\Program
Task: {D06D6490-FF7C-4231-B481-6B08408D384E} - System32\Tasks\Dealply => C:\Users\arekw77\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe [2013-04-12] ()
Task: {F9C15E7E-CE7E-4E08-A35D-1F8F2F7335A7} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-14] (BonanzaDeals)
Task: {FB35A378-FFFD-4EAD-B441-5E4F665910D9} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-14] (BonanzaDeals)
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\windows\Tasks\Dealply.job => C:\Users\arekw77\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe
S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-14] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-14] (BonanzaDeals)
R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [625304 2012-09-28] (Pandora.TV)
R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [1706064 2013-10-14] (Wsys Co., Ltd.)
S3 SBIOSIO; \??\C:\Windows\Temp\SBIOSIO64.SYS [x]
S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [x]
C:\Users\arekw77\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z
C:\Users\arekw77\AppData\Roaming\BabSolution
C:\Users\arekw77\AppData\Roaming\Babylon
C:\Users\arekw77\AppData\Roaming\Dealply
C:\Users\arekw77\AppData\Roaming\Delta
C:\Users\arekw77\AppData\Roaming\DigitalSite
C:\Users\arekw77\AppData\Roaming\DSite
C:\Users\arekw77\Desktop\DownloadAcceleratorSetup.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: Bonanza Deals, Bundled software uninstaller, MiPony 2.0.2, Mipony Download Accelerator Packages, Pandora Service, Update for Mipony Download Accelerator, Wsys Control 10.2.1.2652.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci.
• Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar, BonanzaDeals
• Ustawienia > karta Historia > wyczyść

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[arekw77]

Zrobione (mam nadzieję).

Fixlog.txt

FRST.txt

AdwCleanerR1.txt

AdwCleanerS1.txt

[picasso]

Przetwarzanie skryptu ma stanowczo zbyt dużo odczytów "not found". Czy przypadkiem nie wystąpiło jedno z tych: podwójne uruhoienie skryptu lub zmiana kolejności zadań? I podaj log z właściwego usuwania AdwCleaner, czyli AdwCleaner[s0].txt. Tu podane to już kolejne uruchomienie. Zastrzeżenia: plik adwcleaner_www.INSTALKI.pl.exe = pobrany z innego serwisu niż strona domowa.

 

 

 

.

[arekw77]

Robiłem wszystko w podanej kolejności.

AdwCleanerS0.txt

[picasso]

Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\BonanzaDeals
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[arekw77]

Proszę:

Fixlog.txt

[picasso]

Skrypt pomyślnie wykonany. Kończymy:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\arekw77\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Odinstaluj Java 7 Update 25 na korzyść najnowszej: KLIK. Nieaktualizowana Java to jedna zdróg infekcji "policyjnych".

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.