Problem z wirusem policja zablokowała komputer

[Mrseiseo]

Witam mam problem z wirusem policja zablokowała twój komputer proszę o pomoc

OTL.Txt

[Landuss]

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS -- (WFIOCTL)
DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\wf2kxbar.sys -- (Tv2kXbar)
DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\wf2ktunr.sys -- (tv2ktunr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112558&tt=190712_n_mont_3012_6&babsrc=HP_ss&mntrId=06622cf800000000000000241d9c9618"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112558&tt=190712_n_mont_3012_6&babsrc=SP_ss&mntrId=06622cf800000000000000241d9c9618"
IE - HKCU\..\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}: "URL" = "http://search.daum.net/search?nil_profile=ie&ref_code=ms&q={searchTerms}"
IE - HKCU\..\SearchScopes\{41610CD6-FC22-4D01-9D3D-F6E129DC715A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=5846DF0B-51CF-4559-AADD-81D8AFC4573E&apn_sauid=667AF0A8-3010-41F5-8A0F-D2EF09A5D1B6"
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=AJAcSLG0tWVWyow6LCRPGd3jwz0?q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;<local>
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3031817&SearchSource=13"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
FF - prefs.js..network.proxy.type: 0
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}"
[2011-09-29 15:15:29 | 000,002,569 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\askcom.xml
[2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\conduit.xml
[2012-03-27 19:22:21 | 000,003,916 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\sweetim.xml
[2012-06-20 18:55:43 | 000,002,767 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\allegro-pl.xml
[2012-07-23 17:13:14 | 000,002,363 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [l33t] C:\Windows\system\iexplore.exe ()
O4 - HKCU..\Run: [kmbtuccwyubgtbj] C:\ProgramData\kmbtuccw.exe ()
O4 - HKCU..\Run: [PKTray] C:\Program Files\Przyspiesz Komputer\PKTray.exe File not found
O4 - HKCU..\Run: [Windows Service Host] svcservice.exe File not found
O4 - Startup: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wucault.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ati2sgav = "C:\Windows\system32\ati2sgav.exe" ()
 
:Files
C:\ProgramData\zrlbctgwytuvejw
C:\ProgramData\afdszqotgarursa
C:\Users\Robert\ms.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Conduit Engine / SFT_Polska Toolbar / uTorrentControl2 Toolbar / SweetPacks Toolbar for Internet Explorer

 

Otwórz Firefox i w Dodatkach odmontuj: SFT_Polska Community Toolbar / uTorrentControl2 Community Toolbar / ST Deutsch FF Community Toolbar / Conduit Engine

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Mrseiseo]

Dziękuje ale użyłem programu combo fix i dało rade ale i tak dzięki.

[Landuss]

Mimo wszystko wykonaj to co napisałem i wklej nowe logi z OTL. To nie koniec zaleceń.

[Mrseiseo]

Oh... Przepraszam że nie odpisywałem i niestety miałeś racje znowu wyskoczył tym razem combofix nie pomaga

 

[Landuss]

Sporządź nowe logi z OTL aby była jasna sytuacja.

[Mrseiseo]

Okej zrobiłem już wszystko i tu jest nowy log z otl. Czekam co mam zrobić dalej

OTL.Txt

[Landuss]

A to jest log wykonany z prawidłowego konta? Bo ja w logach nie widzę tej infekcji kompletnie...

[Mrseiseo]

tak robiłem go przed chwilą ale żeby sprostować to kiedy wykonałem skrypt w otl ten który mi kazałeś to miałem już całkowity dostęp do komputera.

[Landuss]

Czyli jak rozumiem problem już nie występuje? Nie dałeś mi do tej pory loga extras, pisałem:

 

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

[Mrseiseo]

tu jest ten plik ale nie jestem pewien z kiedy on jest czy kiedy jeszcze był problem czy już po tym dziękuje za całą pomoc

Extras.Txt

[Landuss]

W porządku, jeśli problemu już nie ma mozesz kończyć:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Mrseiseo]

Dobrze dziękuje za całą pomoc.