Polska policja cyberprzestępczość department

[AzeruS]

Jak widze nie jestem jedynym szczęściarzem.

Po podłączeniu do internetu pojawia sie komunikat Polska Polcja Cyberprzestępczość Departament i konieczności zapłaty 300zł. Po restarcie i odłączeniu neta wszystko jest ok. Jak się pozbyć wirusa?

System Windows 7 Ultimate 64 bity

 

Uprzejmnie proszę o pomoc bo nie wiem jak pozbyć sie tego wirusa.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\user\AppData\Roaming\Lizuf
C:\Users\user\AppData\Roaming\Bycet
C:\Users\user\AppData\Roaming\Arta
C:\Users\user\AppData\Roaming\Tauhko
C:\Users\user\AppData\Roaming\Ryvi
C:\Users\user\AppData\Roaming\Qesu
C:\Users\user\AppData\Roaming\Xixyc
C:\Users\user\AppData\Roaming\Ofaw
C:\Users\user\AppData\Roaming\Geryab
C:\Users\user\AppData\Roaming\Alzy
C:\Users\user\AppData\Roaming\Apyw
C:\Users\user\AppData\Roaming\Bipaki
C:\Users\user\AppData\Roaming\Ihiku
C:\Users\user\AppData\Roaming\Qeym
C:\Users\user\AppData\Roaming\Uqipe
C:\Users\user\AppData\Roaming\Uvon
C:\Users\user\AppData\Roaming\Ymor
C:\Users\user\AppData\Roaming\Zyota
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\uayqta1h.default\searchplugins\askcom.xml
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\uayqta1h.default\searchplugins\daemon-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
 
:OTL
IE - HKU\S-1-5-21-941849470-2716029532-2412905834-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-941849470-2716029532-2412905834-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PF&o=15180&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RX&apn_dtid=YYYYYYYYPL&apn_uid=A2FBBB4F-5D29-427A-97D6-CB1E8A52D9D9&apn_sauid=690EB6F7-B14E-4223-90C0-42F70362BB57"
IE - HKU\S-1-5-21-941849470-2716029532-2412905834-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.102.0: C:\Program Files (x86)\Battlelog Web Plugins\1.102.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.118.0: C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-941849470-2716029532-2412905834-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-941849470-2716029532-2412905834-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Windows Defender]  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Odinstaluj zbędny GeekBuddy od COMODO.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[AzeruS]

przesylam nowe logi i bardzo dziekuję za pomoc.

OTL.Txt

[picasso]

Zadania pomyślnie przeprowadzone. Kończymy:

 

1. Doczyszczenie szczątków po Ad-aware i Zone. Sprawdź czy widzisz na liście zainstalowanych pozycję ZoneAlarm LTD Toolbar. Jeśli nie, to usuń ją za pomocą tego narzędzia: KLIK. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV:64bit: - [2010-09-23 08:46:09 | 000,069,152 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\Lbd.sys -- (Lbd)
[2011-10-27 22:17:00 | 000,000,064 | ---- | C] () -- C:\Windows\SysWow64\rp_stats.dat
[2011-10-27 22:17:00 | 000,000,044 | ---- | C] () -- C:\Windows\SysWow64\rp_rules.dat
[2012-08-27 16:22:28 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\CheckPoint

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows i wyliczone poniżej oprogramowanie: KLIK. W Twoim raporcie widać brak SP1 + IE9 dla Windows 7 oraz wersje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 21
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"KLiteCodecPack_is1" = K-Lite Codec Pack 2.72 Full Beta

 

Czyli: pełna aktualizacja Windows do wykonania, stare Adobe i Java odinstaluj, podobnie jak i kodeki (tak stare, że szok).

 

 

PS. Masz zainstalowane Gadu-Gadu 10. Program nie ma co ukrywać dręczący reklamami i dręczący zasoby systemowe. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[AzeruS]

Bardzo dziekuję za pomoc:)