"Policja - Cyberprzestępczość"

[RobertM15]

Witam,

 

Windows Vista Home Premium 32B w czasie kiedy jest podłączony do Internetu jest pojawia się wirus "Policja - Cyberprzestępczość".

Jeżeli przy starcie systemu nie ma połączenia z internetem, system działa bez blokowania wirusem.

 

Skan OTL wykonał się bez problemu, choć wykonywał się bardzo długo - ok. 1,5 godziny, szczególnie przy pozycji "skanowanie zabezpieczeń Firefox".

 

Także skanowanie Gmer’em nie przebiegło bez problemu.

Skanowanie pełne w trybie normalnym kilkukrotnie zakończone BSOD’em.

Dopiero w trybie awaryjnym, po dwukrotnym BSOD’zie w końcu pełny skan wykonany.

 

Nie mogę poradzić sobie samodzielnie, więc proszę o pomoc.

 

Pozdrawiam,

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Od razu będę usuwać i szczątki po ArcaBit.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Marta\taskmgr.exe
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
C:\Program Files\Mozilla Firefox\updated\extensions\arcabit@www.arcabit.pl
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8F45A7FB-2178-41A8-8ECC-1A11589A2DF9}]
 
:OTL
IE - HKLM\..\SearchScopes\{7C778CBF-296D-48E2-8BBD-DA23F2412D40}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{E673692D-D93A-4A1E-917C-CD4A05605833}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{7C778CBF-296D-48E2-8BBD-DA23F2412D40}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/acala3gp/{23FCDBBC-EABD-4AFB-A73E-49DD9AF1E255}?q={searchTerms}"
IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e33fbd84-07c8-11e1-93a1-002186742203&q={searchTerms}"
IE - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\SearchScopes\{E673692D-D93A-4A1E-917C-CD4A05605833}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll File not found
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKU\S-1-5-21-2509004045-191301730-2572276202-1000\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found.
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany).

 

2. Przez Panel sterowania odinstaluj adware Pasek narzędzi AOL 5.0, Internet Explorer Toolbar 4.6 by SweetPacks, Update Manager for SweetPacks 1.1, vShare.tv plugin 1.3.

 

3. Google Chrome: W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj vshare plugin. Wyczyść Historię.

 

4. Firefox: wyczyść ze śmieci i naleciałości aktualizacyjnych poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[RobertM15]

Kroki naprawcze wykonane.

 

Poniżej skany z OTL i AdwCleaner:

OTL2.Txt

AdwCleanerS1.txt

[picasso]

Wszystko zrobione.

 

1. Drobna poprawka po używaniu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome pozostały wtyczki vShare:

 

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Google Chrome nie pozwala wtyczek usuwać, tylko je wyłączać. Usuwanie wtyczek jest skomplikowane (wymagana edycja bezpośrednia pliku Preferences). Owszem, możemy to robić, ale może nie warte zachodu. Proponuję przeinstalować Google Chrome na czysto (bez kopiowania starego profilu użytkownika).

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do usunięcia.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Antywirus do wymiany. Zainstalowany stary AVG 2011, najnowsza edycja to 2013. Odinstaluj poprzez Panel sterowania, następnie z poziomu Trybu awaryjnego popraw narzędziem AVG Remover. Przed instalacją najnowszego wyłącz zbędny stary systemowy Windows Defender: uruchom msconfig i w kartach Uruchamianie + Usługi odfajkuj dwa wpisy.

 

6. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu są tu zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11

 

Odinstaluj te wszystkie pozycje i zastąp najnowszymi wersjami.

 

 

.

[RobertM15]

Wszystkie kroki wykonane.

Chrome przeinstalowany na czysto.

Aktualizacje oczywiście też.

 

Czy na tym możemy zakończyć naprawę?

[picasso]

Czy na tym możemy zakończyć naprawę?

 

Tak, to już koniec działań. Temat zamykam.

 

 

.