Wirus Policja

[bartek1877]

Witam tak jak w temacie wirus policja zawsze przez noda online skanowalem wykryl skasowal i bylo ladnie pieknie tego niestety nie wykryl. Uzylem Combofixa znalazl go skasowal lecz gdy uruchamiam kompa wyskakuje blad system nie moze odnalezc okreslonej sciezki

c:\windows\system32 klikam wtedy alt+ctrl+ del dodaje w procesach explorer.exe i wszystko ladnie smiga wiec czemu po ponownym uruchomieniu nie odpala se proces explorer.exe ? zalanczam logi z OTL

 

Log z Gmer http://www.wklejto.pl/178500

OTL.Txt

Extras.Txt

[jessica]

Masz infekcję ZeroAcces.
Jeśli w ciągu kilku dni @Picasso nie pojawi się na forum, to możesz zrobić przynajmniej to:
1) Do Notatnika wkleisz:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

 

2) Użyjesz >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Klikniesz w nim SCAN, a po wyszukaniu szkodliwych rzeczy klikniesz DELETE.

Dasz oba raporty z niego

3) Zrobisz log z Farbar Service Scanner >http://download.blee.../farbar/FSS.exe (do skanowania zaznacz wszystko).

 

4) Zrobisz nowy log z OTL, oraz logi z FRST http://www.fixitpc.p...we/#entry119294

 

Jeśli natomiast wcześniej pojawi się @Picasso, to moich zaleceń nie wykonuj.

[bartek1877]

chodzi Ci o podsumowanie z roquekiller ?

 

nie wiem czy wszystko tak jak mialo byc ale stosowalem sie do instrukcji pozniej dam nowe logi z otl jeszcze

Addition.txt

Extras.Txt

FRST.txt

FSS.txt

RKreport0_D_10262013_124149.txt

[jessica]

Edycja picasso: zastąpione instrukcjami w następnym poście

 

EDIT:

usunęłam z tego postu moje zalecenia, ((jest już @Picasso)

 

jessi

 

 

i

 

[picasso]

jessika

 

Zmieniam instrukcje, rozszerzając m.in. skrypt FRST (ominięte kilka wpisów takich jak modyfikacje Shell czy zadanie w Harmonogramie), a naprawa usług potem. Toteż Twój post idzie do spoilera.

 

 

bartek1877

 

Na początek, programy pobierane z portali (KLIK), to nie są bezpośrednie instalatory:

 

C:\Users\Adrian\Downloads\Gmer(13252).exe

C:\Users\Adrian\Downloads\Winamp(12928).exe

C:\Users\Adrian\Downloads\CCleaner(13061).exe

 

 

 

c:\windows\system32 klikam wtedy alt+ctrl+ del dodaje w procesach explorer.exe i wszystko ladnie smiga wiec czemu po ponownym uruchomieniu nie odpala se proces explorer.exe ?

Wartości Shell są zmodyfikowane, ustawione na uruchamianie linii komend cmd.

 

Ogólnie do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: netsh winsock reset
Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Task: {23642A77-191C-455C-ADF5-3D5C21D38359} - System32\Tasks\0 => Iexplore.exe
HKLM-x32\...\Winlogon: [shell] cmd.exe [302592 2010-11-21] (Microsoft Corporation) 
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM-x32\...\Command Processor: "C:\Users\Adrian\AppData\Local\dHFWJHzy9A\zdzthhs2rpc.exe" 
HKCU\...\Winlogon: [shell] cmd.exe [345088 2010-11-21] (Microsoft Corporation) 
HKCU\...\Command Processor: 
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKLM-x32\...\Run: [] - [x]
S2 postgresql-9.2; C:/Program Files (x86)/PostgreSQL/9.2/bin/pg_ctl.exe runservice -N "postgresql-9.2" -D "C:/Program Files (x86)/PostgreSQL/9.2/data" -w [x]
S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Hitachi_HTS547550A9E384_J2150050DBZ7DDDBZ7DDX&ts=1354045889
HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=010712_1&babsrc=HP_ss&mntrId=423e6d91000000000000402cf438bfbc
URLSearchHook: HKCU - (No Name) - {6edc3889-b841-4127-a2bf-c5fc48f972c7} - No File
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499
SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499
SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQPhrpYc1&i=26
SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499
SearchScopes: HKCU - {23E9B683-1399-B8DE-8D5A-2A540491B51E} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_1&babsrc=SP_ss&mntrId=423e6d91000000000000402cf438bfbc
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQPhrpYc1&i=26
BHO-x32: DVDVideoSoft WebPageAdjuster Class - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
Toolbar: HKLM-x32 - No Name - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx
CHR HKLM\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\Adrian\AppData\Local\funmoods.crx
CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx
CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx
CHR HKLM-x32\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\Adrian\AppData\Local\funmoods.crx
CHR HKLM-x32\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files (x86)\TornTV.com\torn10.crx
CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx
C:\ProgramData\RJS6O4ql
C:\Program Files (x86)\Google\Desktop
C:\Program Files (x86)\v9Soft
C:\Program Files (x86)\mozilla firefox
C:\Program Files (x86)\Common Files\DVDVideoSoft
C:\Users\Adrian\Downloads\178500
C:\Users\Adrian\Downloads\CCleaner(13061).exe
C:\Users\Adrian\Downloads\Gmer(13252).exe
C:\Users\Adrian\Downloads\Winamp(12928).exe
C:\Users\Adrian\AppData\Roaming\cLaT83yw
C:\Users\Adrian\AppData\Roaming\Mozilla
C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx
C:\Users\Adrian\AppData\Local\funmoods.crx
C:\Users\Adrian\AppData\Local\MFAData
C:\Users\Adrian\AppData\Local\Avg2014
C:\ProgramData\AVAST Software
C:\ProgramData\MFAData
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: sc config "PLAY ONLINE. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Rozszerzenia > odinstaluj FunDial, Funmoods
• Ustawienia > karta Historia > wyczyść

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[bartek1877]

zrobilem wszystko zgodnie z instrukcja nizej daje logi 

Fixlog.txt

AdwCleanerR1.txt