Polska Policja cyberprzestępczość department

[Pawliccuk]

Dzień dobry, jak widze mnie również dopadło to paskudztwo i nie wiem za bardzo jak sobie z tym poradzić. Bardzo proszę o pomoc.

 

System: Microsoft Windows XP Home edition wersja 2002

 

Załączam pliki:

Extras.Txt

OTL.Txt

[picasso]

Widzę pobrany AdwCleaner z serwisu pośredniego:

 

[2012-11-09 15:05:06 | 000,538,941 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Pulpit\AdwCleaner_www.INSTALKI.pl.exe

 

To jest stara wersja 2.005 (na dodatek z błędami). Proszę nie pobierać takich programów z innych źródeł niż strona domowa. Najnowsza wersja 2.007 tylko na stronie domowej, a kieruje do niej przyklejony opis na forum (KLIK). Jeśli antywirus zgłasza "zagrożenie" podczas otwierania tej strony, jest to fałszywy alarm.

 

Co to za ogłuszająca ilość plików rodzaju:

 

[2012-11-09 14:29:07 | 000,000,000 | ---- | M] () -- C:\t3p0.fs
[2012-11-09 14:29:07 | 000,000,000 | ---- | M] () -- C:\t3p0.fr
[2012-11-09 14:29:07 | 000,000,000 | ---- | M] () -- C:\t3p0.fq
[2012-11-09 14:29:07 | 000,000,000 | ---- | M] () -- C:\t3p0.fp
[2012-11-09 14:29:07 | 000,000,000 | ---- | M] () -- C:\t3p0.fo

 

Przed stworzeniem nowego raportu OTL przenieś je w inne miejsce np. na dysk E.

 

---

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Użytkownik\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
 
:OTL
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://supertoolbar.ask.com/redirect?client=ie&tb=SPC&o=15000&src=crm&q={searchTerms}&locale=en_US"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={4E1603B6-E3D3-48F5-9061-88F2F14FDD75}&mid=0d7fe5d80fe3aa316926280610044db0-b6b752006c4ec4af601dc600db6d750160b88e5f&lang=pl&ds=AVG&pr=fr&d=2012-06-09 11:15:40&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = "http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1"
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer10: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll File not found
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\EAPPkt.sys -- (EAPPkt)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Programy\Sopcast\adv\SopAdver.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar. Pozbądź się też AVG Security Toolbar.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner (nowy pobrany ze strony domowej!) i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Pawliccuk]

Załączam nowy log OTL i log z AdwCleaner.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane, przejdź do wykończeń:

 

1. Te pliki masowo utworzone na dysku C, które zaleciłam wyizolować, są podejrzane. Skasuj je całkowicie.

 

2. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_JULY_P1"=-

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do śmieci.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"{CD0159C9-17FB-11D6-A76A-00B0D079AF64}" = Java 2 Runtime Environment, SE v1.4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Google Chrome)
"Google Chrome" = Google Chrome 22.0.1229.94
"Gadu-Gadu" = Gadu-Gadu 7.7
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

Czyli: usunięcie wszystkich starych Adobe i Java tu wyliczonych przed instalacją najnowszych, aktualizacja wtyczki Silverlight w Google Chrome (w Firefox jest już najnowsza) oraz samego Google Chrome jako takiego.

 

Gadu-Gadu 7.7 tu zakreślam nie bez powodu. Jest to wersja niepełnosprawna i słabo zabezpieczona. Polecam alternatywny WTW, obsługa Gadu dobra i brak reklam: KLIK.

 

 

 

.

[Pawliccuk]

Dziekuję serdecznie za pomoc:)