Kolejny policyjny wirus

[Bzik]

Tyle już tutaj postów o tym wirusie, aż wstyd dokładać nowy, ale cóż począć kiedy blokada na kompie Jak uchronić komputer przed tym straszydłem? Panda sobie nie poradziła.

Extras.Txt

OTL.Txt

gmer.txt

[picasso]

Przy okazji usunę i szczątki Firefox (wygląda na odinstalowany).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\netdislw.pad
C:\Users\Daniel\AppData\Local\funmoods-speeddial_sf.crx
C:\Users\Daniel\AppData\Local\funmoods.crx
C:\Users\Daniel\AppData\Local\CRE
C:\Users\Daniel\AppData\Local\Conduit
C:\Program Files\Conduit
C:\Users\Daniel\AppData\Roaming\Mozilla
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyDtD0FtD0FtBtBzzyCtN0D0Tzu0CtBzyzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=564822911"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={CD6E63E6-D05E-4311-91FC-9DEF5E245314}&mid=e22c614757d54649a20b80821351369d-4be6c05f41f56165dc0e6c96fe143d123c592881&lang=pl&ds=xn011&pr=sa&d=2012-10-26 18:18:17&v=13.2.0.4&sap=dsp&q={searchTerms}"
IE - HKCU\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar. Swoją drogą pasek Panda Security Toolbar też zbędny, usunięcie tego nie zlikwiduje właściwej ochrony czyli Panda Security URL Filtering.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Jak uchronić komputer przed tym straszydłem? Panda sobie nie poradziła.

 

Dyskusja na temat tej infekcji: KLIK.

 

 

.

[Bzik]

Chyba wszystko wykonane prawidłowo:)

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadania pomyślnie wykonane.

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{8B308A68-ADDE-49CB-A335-250E11478410}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{5E4523E3-79F6-FEA7-A41C-19C80BF12D41}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_roc_ssl_v12"=-

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Internet Explorer oraz sprawdź wersje wtyczek Adobe Flash dla IE + Silverlight: KLIK.

 

 

 

.