Polska Policja Cyberprzestępczości

[rybka]

Witam, pojawił się u mnie wirus, podający się za policję cyberprzestępczości.

Zrobiłam skan z konta użytkownika gość. Ale zawarłam wszystkich użytkowników. Na moim koncie nic nie można zrobić, wszystko jest zablokowane, nie mogę wejść do żadnego programu. Nawet uruchomić komputer w trybie awaryjnym

 

Co z tym zrobić dalej?

OTL.Txt

[picasso]

Log niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

Zrobiłam skan z konta użytkownika gość. Ale zawarłam wszystkich użytkowników. Na moim koncie nic nie można zrobić, wszystko jest zablokowane, nie mogę wejść do żadnego programu. Nawet uruchomić komputer w trybie awaryjnym

 

Nie opisałaś na czym polega problem z wejściem w Tryb awaryjny. Opcja wszystkich użytkowników nie robi tego co myślisz. Logi zawsze muszą być zrobione z poziomu konta na którym jest problem. Wg nagłówka OTL program był uruchamiany z poziomu administracyjnego konta Beata a nie Gość:

 

Computer Name: BEATA-HP | User Name: Beata | Logged in as Administrator.

 

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Beata\AppData\Roaming\Babylon
C:\Users\Beata\AppData\Roaming\_MDLogs
 
:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}: "URL" = "http://flvpx-ares.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-113-0-..."
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF"
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={A593A6E6-9CBB-43B2-89F5-46EF9A3F1E5D}&mid=4c8ebe541c3647d19fb5fd6e913be79e-632e1b275127bb3cdad365d78f1e7dfead352a7e&lang=pl&ds=AVG&pr=fr&d=2012-09-02 17:09:48&v=12.2.0.5&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\SearchScopes\{FAB8915E-DE6A-4711-9F62-0A971036DDED}: "URL" = "http://www9.iamwired.net/websearch.php?src=tops&search={SearchTerms}"
IE - HKU\S-1-5-21-579829051-3986076192-1946136524-501\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={A593A6E6-9CBB-43B2-89F5-46EF9A3F1E5D}&mid=4c8ebe541c3647d19fb5fd6e913be79e-632e1b275127bb3cdad365d78f1e7dfead352a7e&lang=pl&ds=AVG&pr=fr&d=2012-09-02 17:09:48&v=12.2.0.5&sap=dsp&q={searchTerms}"
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-579829051-3986076192-1946136524-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-579829051-3986076192-1946136524-501\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O8:64bit: - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8:64bit: - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Windows Searchqu Toolbar.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox..

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log utworzony przez AdwCleaner. Wszystkie pliki dołącz via załączniki forum, nie wklejaj w poście.

 

 

.

Edytowane 6 Grudnia 2012 przez picasso
6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso