Malware help! zablokowany komp, policja itp

[elbartoo]

Po wejściu na którąś ze stron internetowych na ekranie pojawił się komunikat na całą wielkość, z wizerunkiem policjanta, wyliczonymi naruszonymi art. i poleceniem zapłaty 300 zł w celu odblokowania. Próbowałem wpisać kod, wygenerowany ze strony CERT bodajże, nie podziałało. Jestem zupełnie zielony jeśli chodzi o komputery, umiem włączyć jedynie tryb awaryjny i to już zrobiłem, zgłosiłem się tutaj bo czytałem, że można tu jej szukać.

Extras.Txt

OTL.Txt

[picasso]

elbartoo, zaśmieciłeś forum. Dopisałeś się do cudzego tematu, założyłeś też duplikaty tematów. Wszystko jest tu zabronione.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\ojro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\ojro\AppData\Roaming\Igwulo
C:\Users\ojro\AppData\Roaming\Ododof
C:\Users\ojro\AppData\Roaming\Puodni
C:\Users\ojro\AppData\Roaming\mozilla\firefox\profiles\iocu6nmk.default\searchplugins\MyStart Search.xml
C:\Users\ojro\AppData\Roaming\mozilla\firefox\profiles\iocu6nmk.default\searchplugins\startsear.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Users\ojro\AppData\Local\Temp*.html
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=4d6ab49e-5cb9-11e1-b2f3-00262dad7b23&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-2988563491-531853272-1490310250-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={EC4DD0A4-4149-472C-A04F-A356403EF594}&mid=6f7ada6331e147d08d46d16f6b4992d0-ea6a049807e71ec0e448c4d27054104e6ac7ecbc&lang=pl&ds=xn011&pr=sa&d=2012-09-16 11:46:02&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2988563491-531853272-1490310250-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392"
IE - HKU\S-1-5-21-2988563491-531853272-1490310250-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8sUw2SIT&i=26"
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\mcafee\VirusScan\mcods.exe -- (McODS)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe /McCoreSvc -- (McNaiAnn)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolene operacje prowadzisz jhuż w Trybie normalnym Windows:

 

2. Odinstaluj adware:

- Otwórz Firefox i w Dodatkach odinstaluj: ADDICT-THING, AVG Security Toolbar, incredibar.com, softonic.com, vshare Add-On, Web Assistant.

- Przez Panel sterowania odinstaluj: AVG Security Toolbar, BitTorrentBar Toolbar, Incredibar Toolbar on IE, LiveVDO plugin 1.3, McAfee Security Scan Plus, Optimizer Pro v3.0, Softonic toolbar on IE and Chrome, Web Assistant 2.0.0.430.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

Edytowane 28 Listopada 2012 przez picasso
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso