Zainfekowanie komputera - wirus - komenda policji

[dominik76]

Proszę o pomoc

Wczoraj "biegałem po internecie" i niestety wyświetliła mi się strona a właściwie powiadomienie że mam zapłacić karę za oglądanie treści xxx i okazało się że jest to wirus komenda policji ( patrz bez tytułu.jpg). Nie zauważyłem żadnych objawów infekcji ale chciałbym mieć pewność że się nigdzie nie zagnieździł. Wykonałem raport. Proszę o weryfikację.

Extras.Txt

OTL.Txt

[picasso]

Zasady działu. Nie zostały dostarczone obowiązkowe tu logi z FRST.

[dominik76]

Kurcze zapomniałem, Przepraszam, oto logi z FRST:

Addition.txt

FRST.txt

[picasso]

Oznak infekcji "policyjnej" brak, czyli musiał to być "tymczasowy" komunikat na poziomie przeglądarki. Za to do czyszczenia mamy odpadki adware. I drobna uwaga: używałeś skaner SpyHunter, jest to wątpliwy program stosujące klasyczną technikę naciągactwa ("skanuj, ale pokazane wyniki usunie tylko opłata"). Akcja:

 

1. Przez Panel sterowania odinstaluj adware Update for Video Converter, Video Converter Packages.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020
SearchScopes: HKLM - DefaultScope Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKLM - Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020
SearchScopes: HKCU - {15F394EA-E08B-4720-B476-133C339278BB} URL = http://www.idg.pl?q={searchTerms}
Task: {0C6054EE-B101-4313-8D68-CBFD552486B9} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
Task: {29A05649-FFB2-42B6-9B3C-BBE72A35E49E} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: {3212B0F6-2C42-42B3-9C77-0CF9FD8DAED0} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe
Task: {5E808DFF-12AE-4AEA-A7CF-74C32A2CB346} - System32\Tasks\Danusia i Dominik NBAgent 5 4 => C:\program files\nero\nero 10\nero backitup\NBAgent.exe
Task: {7CE8CF7F-E859-4287-86A4-4E01101B9200} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe
Task: {B77D3614-285D-46AC-A7C6-28A569CDEF38} - System32\Tasks\Danusia i Dominik => C:\Program Files\Nero\Nero 10\Nero BackItUp\NBCore.exe
Task: {CEB6A870-8D77-4674-A705-283704DDFF16} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: {DD0766D9-A03C-4D8A-B565-F66645125833} - System32\Tasks\DigitalSite => C:\Users\Danusia i Dominik\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] ()
Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\DANUSI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S4 sptd; System32\Drivers\sptd.sys [x]
U2 wuaserv;
C:\Program Files\Enigma Software Group
C:\Users\Danusia i Dominik\AppData\Roaming\0D0S1L2Z1P1B
C:\Users\Danusia i Dominik\AppData\Roaming\adma
C:\Users\Danusia i Dominik\AppData\Roaming\Babylon
C:\Users\Danusia i Dominik\AppData\Roaming\DigitalSite
C:\Users\Danusia i Dominik\AppData\Roaming\Systweak
C:\Windows\455F074C814E4520B69B5584BD90400C.TMP
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

.