Wirus Blokujący komputer

[JayJayPL]

Witam niestety zostałem zaatakowany przez wirusa .

 

Mam windows XP.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe ()
O4 - HKU\S-1-5-21-329068152-2052111302-1801674531-1003..\Run: [ufvatiqa] C:\Documents and Settings\Właściciel\Dane aplikacji\Avudmu\oxuz.exe (Saa69Soft ©)
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=bc255c5d0000000000000018f3911b73"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{1ED1771A-C096-42EE-8843-572AA0905850}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=D3BEA860-704E-4B0F-8192-6B0F3BE20885&apn_sauid=0B3C8E73-1913-40FD-8DB9-A85011A3A428"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://pl.v9.com/s#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{575DC5DE-7B9A-4457-BA83-1A4D89C6640C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7e42dc1c-8402-11e1-9d41-0018f3911b73&q={searchTerms}"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={A15C33B4-B2FD-4B97-B6BD-D98E1B84D52E}&mid=22690408c05547d1b460d151b575f280-24045a89aa5adbad32a4b5b06b92709dcc8fef64&lang=pl&ds=xn011&pr=sa&d=2012-09-02 01:00:07&v=12.2.0.5&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{E7CE29A9-7F70-47ED-B500-AC3F618893F8}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc="
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C9A43BDD-DB8E-11E0-97FE-0018F3911B73}"
IE - HKU\S-1-5-21-329068152-2052111302-1801674531-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120623182025578&tb_oid=23-06-2012&tb_mrud=23-06-2012"
IE - HKLM\..\SearchScopes\{575DC5DE-7B9A-4457-BA83-1A4D89C6640C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7e42dc1c-8402-11e1-9d41-0018f3911b73&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C9A43BDD-DB8E-11E0-97FE-0018F3911B73}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120623182025578&tb_oid=23-06-2012&tb_mrud=23-06-2012"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledAddons: {c47637c4-6079-7634-b4ab-20180c6da79e}:4.6.8.6
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Documents and Settings\W\u0142a\u015Bciciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll
CHR - plugin: downloadUpdater (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnu.dll
CHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)
DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\vproiah.sys -- (vproiah)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\gtermddo.sys -- (gtermddo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
 
:Files
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812
C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto
C:\Documents and Settings\Właściciel\Dane aplikacji\Avudmu
C:\Documents and Settings\Właściciel\Dane aplikacji\Irva
C:\Documents and Settings\Właściciel\Dane aplikacji\Odawnu
C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy
C:\Documents and Settings\Właściciel\Dane aplikacji\PriceGong
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
C:\Program Files\Mozilla Firefox\extensions\{c47637c4-6079-7634-b4ab-20180c6da79e}
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\aol-web-search.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\askcom.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\conduit.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\softonic.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\startsear.xml
C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5087mc99.default\searchplugins\sweetim.xml
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\uik.dat
C:\Program Files\is.dat
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. AVG wygląda na uszkodzony lub nie w pełni odinstalowany. Zastosuj specjalizowany usuwacz AVG Remover.

 

3. Przeprowadź deinstalaccje adware:

- Otwórz Firefox i w Dodatkach odinstaluj: DealPly, SweetIM Toolbar for Firefox, softonic.com, Yontoo.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: DealPly, StartSearch Video plug-in, uTorrentBar.

- Przez Panel sterowania odinstaluj: Babylon toolbar on IE, Browsers Protector, Deinstalator Strony V9, Download Updater (AOL LLC), SFT_Polska Toolbar, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2, Yontoo 1.10.02. Również pozbądź się zbędnych: Akamai NetSession Interface, AVG Security Toolbar i McAfee Security Scan.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras + zaznacz opcję Pomiń pliki Microsoftu). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

 

.

[JayJayPL]

Dzieki wielkie !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[picasso]

Chwileczkę, ale gdzie dane po wykonaniu wszystkich operacji:

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras + zaznacz opcję Pomiń pliki Microsoftu). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

.

Edytowane 8 Października 2012 przez picasso
8.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso