"Policyjny" wirus

[geza]

Witam i pozdrawiam ja również mam policyjnego wirusa żądającego zapłaty. Przeglądając forum zauważyłem, że nie jestem jedyny i dlatego z góry przepraszam jeżeli niepotrzebnie założyłem nowy temat (nie zauważyłem opcji podpięcia się do tematu).

System Win Vista działający tylko w trybie awaryjnym.

Dziękuję za pomoc Geza

OTL.Txt

Extras.Txt

[picasso]

Przeglądając forum zauważyłem, że nie jestem jedyny i dlatego z góry przepraszam jeżeli niepotrzebnie założyłem nowy temat (nie zauważyłem opcji podpięcia się do tematu).

 

Wnioskuję, że nie przeczytałeś zasad działu, które zabraniają podpinania się pod cudze tematy: KLIK. Zasady wyszczególniają także, by się wyspowiadać z używania ComboFix (widzę ślady w logu).

 

 

---

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3649377017-394594163-1264326825-1000..\Run: [sysFxUI] C:\Users\robert\AppData\Local\Microsoft\Windows\1867\SysFxUI.exe ()
IE - HKLM\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-3649377017-394594163-1264326825-1000\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\robert\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
C:\ProgramData\qvsrksbwpbaqftp
C:\Users\robert\AppData\Local\Microsoft\Windows\1867
C:\Users\robert\AppData\Roaming\hellomoto
C:\Users\robert\AppData\Local\Temp*.html
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, nastąpi odblokowanie, otworzy się log z wynikami usuwania.

 

2. W Panelu sterowania możesz odinstalować zbędny pasek Pasek narzędzi AOL 5.0.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

[geza]

Bardzo dziękuję za pomoc:

Combofix użyłem jeszcze przed dotarciem do tego forum

Zastosowałem się do zaleceń i załączam logi OTL i Gmera

Jeszcze raz dziękuję i pozdrawiam Geza

OTL2.Txt

gmer.txt

[picasso]

Nie podałeś logów z wynikami usuwania OTL, ale w zasadzie już mi to niepotrzebne, glówny log z OTL dowoduje wykonanie zadania. W GMER nic podejrzanego. Idziemy dalej:

 

1. Porządki: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt (kopia rejestru stworzona przez ComboFix).

 

2. Naprawa drobnego błędu WMI numer 10 na podstawie KB950375.

 

3. Czyszczenie folderów Przywracania systemu: KLIK.

 

4. Aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2
"Opera 11.11.2109" = Opera 11.11

 

+ Service Pack dla Microsoft SQL Server 2008 R2: KB2527041

 

 

 

.

[geza]

Wszystko ok jeszcze raz dziękuję pozdrowienia Geza