Zablokowany komputer przez "Policje" naprawiony programem ComboFix

[sindiris]

Dobry wieczór, zostałem wczoraj zainfekowany wirusem podszywającym się pod Policje, jednak nie spanikowałem i nie miałem zamiaru płacić pieniążków (200zł) na "ich" konto. Przez komórkę wyszukałem szybko informacje co z tym zrobić i czy to prawda, oczywiście tak jak przypuszczałem mimo że logo policji, jest to wirus. Dziś po pracy, zainstalowałem program ComboFix i postępowałem według instrukcji, która defakto zaprowadziła mnie również na te forum. Po pracy programu Combo, mogę teraz przeglądać internet, nie pojawia mi się komunikat o zapłacie, oraz blokada innych funkcji komputera, więc przypuszczam, że program spełnił swoje zadania i usunął zbędnego i upierdliwego "gada" z mojego systemu.

 

W załączniku dodaję plik textowy jaki utworzył mi program po skanowaniu i czyszczeniu komputera.

Jeśli jest jeszcze coś co powinienem wykonać, prosze o pomoc.

Ps. program ComboFix należy już odinstalować ?

Dobrej nocy, pozdrawiam sindiris.

ComboFix.txt

[picasso]

Zasady działu w kwestii obowiązkowych logów: KLIK. Na temat używania ComboFix: KLIK.

 

ComboFix usuwał wprawdzie pliki infekcji i adware, ale to drugie nie najlepszą metodą usunięte. To się powinno deinstalować naturalną drogą z systemu a nie powierzać to ComboFix (który wykonuje akcje brutalnie, to nie jest deinstalacja). Czyszczenie tu jeszcze będzie wymagane. Poproszę o dostarczenie obowiązkowych tu logów z OTL.

 

 

Ps. program ComboFix należy już odinstalować ?

 

Nie na tym etapie. Deinstalacja czyści foldery Przywracania systemu, a to ma nastąpić na samym końcu po wykonaniu wszystkich modyfikacji. Modyfikacje ciągle przed nami.

 

 

.

[sindiris]

Dziękuję za odpowiedź i to bardzo szybką.

Wiem i zdaje sobie sprawę z tego, że potraktowałem system bardzo brutalnie programem ComboFix, po części sam czułem się jak przyparty do muru a po drugie do końca nie wiedziałem co zrobić by odblokować nie działający komputer z połączeniem internetowym po włączeniu przeglądarki.

Zrobiłem skana logów z OTLa, które zamieszczam poniżej.

Dobrej nocy.

OTL.Txt

Extras.Txt

[picasso]

Tak, mamy tu co robić. Masa adware. Przeprowadź następujące działania:

 

1. Deinstalacje adware:

- W Firefox w Dodatkach odinstaluj Searchqu Toolbar, Widgi Toolbar Platform, YTD Toolbar. W Google Chrome w Rozszerzeniach odinstaluj vshare.

- Przez Panel sterowania odinstaluj Ask Toolbar, YTD Toolbar v6.3, vShare.tv plugin 1.3, Windows Searchqu Toolbar.

 

2. Deinstalacja szczątków Symantec. Przez Panel sterowania pozbądź się LiveUpdate (Symantec Corporation). Następnie wejdź w Tryb awaryjny i popraw narzędziem Norton Removal Tool.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{327E5914-BE29-4485-AB17-D197EE547462}: "URL" = "http://search.speedbit.com/searchresults.asp?src=default&q={searchTerms}"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.autocompletepro.com/?si=7148&bi=400&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files (x86)\TVUPlayer\npTVUAx.dll File not found
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI9130~1\Datamngr\ToolBar\searchqudtx.dll File not found
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WI9130~1\Datamngr\BROWSE~1.DLL File not found
O2 - BHO: (IEHlprObj Class) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI9130~1\Datamngr\ToolBar\searchqudtx.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4:64bit: - HKLM..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-845574217-2844377873-2091817566-1000..\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] 0 File not found
O37 - HKU\S-1-5-21-845574217-2844377873-2091817566-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found
 
:Files
C:\Users\HP Pavilion\AppData\Roaming\mozilla\firefox\profiles\0n7cm2nt.default\searchplugins\askcom.xml
C:\Users\HP Pavilion\AppData\Roaming\mozilla\firefox\profiles\0n7cm2nt.default\searchplugins\daemon-search.xml
C:\Users\HP Pavilion\AppData\Roaming\mozilla\firefox\profiles\0n7cm2nt.default\searchplugins\Search_Results.xml
C:\Users\HP Pavilion\AppData\Roaming\mozilla\firefox\profiles\0n7cm2nt.default\searchplugins\startsear.xml
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
C:\Users\HP Pavilion\AppData\Local\Temp*.html
netsh advfirewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Default_Search_URL"=-
"Start Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

Edytowane 17 Listopada 2012 przez picasso
17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso