Skocz do zawartości

Komp zawirusowany przez policję


Rekomendowane odpowiedzi

Witam, jestem tu po raz pierwszy więc z góry przepraszam, jeśli mój temat jest w złym dziale itd. Mam problem z kompem koleżanki. Wyświetlił nam się komunikat o zablokowaniu kompa przez policję. Nie powiem strachu się trochę najadłyśmy, ale potem okazało się że to wirus. Poczytałam trochę o tym na forach (m.in. tutaj) i zrobiłam skan programem OTL. Poniżej wyniki.

 

Błagam pomóżcie, tylko opiszcie co mam zrobić w miarę prostym językiem, jestem humanistką, nie informatykiem :)

 

Z góry dzięki za pomoc :)

Extras.Txt

OTL..Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Witam, jestem tu po raz pierwszy więc z góry przepraszam, jeśli mój temat jest w złym dziale itd.

 

Temat we właściwym dziale. Te wątpliwości każą mi się zastanawiać czy zostały przeczytane zasady działu: KLIK.

 

Przechodząc do usuwania infekcj i adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Gieniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Gieniek\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Gieniek\AppData\Roaming\abpzlw.dat
C:\Users\Gieniek\AppData\Roaming\avdrn.dat
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:OTL
IE - HKLM\..\SearchScopes\{59189249-3A38-4C27-A13D-08E2747D9EC5}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b10530b4-b18d-11e1-86a2-8ceb3a0859b8&q={searchTerms}"
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=251012_g1838_4312_5&babsrc=SP_ss&mntrId=d6aaa1f700000000000000234ee1f721"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{59189249-3A38-4C27-A13D-08E2747D9EC5}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b10530b4-b18d-11e1-86a2-8ceb3a0859b8&q={searchTerms}"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searc={searchTerms}&FORM=LENIE"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{C9DE90BA-74D0-4909-8B6A-1481079F4B37}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8AE3D556-6FE0-4938-A771-69A5951CABF7&apn_sauid=4508DFA6-5EA9-4C67-8271-22AFC7EAC5E7"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://search.avg.com/route/?d=4b3d2cf0&i=23&tp=chrome&q={searchTerms}&lng={language}&ychte=us&nt=1"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-10-28 17:42:06 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Babylon toolbar, BabylonObjectInstaller, Browser Manager, Browsers Protector, Contextual Tool Extrafind, FoxTab FLV Player, McAfee Security Scan Plus, Przyspiesz Komputer, StartSearch Toolbar 1.3. Dodatkowo stary Firefox 4.0 Beta 5.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Zadania pomyślnie wykonane. Kolejne czynności do wykonania:

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\Mozilla Firefox\extensions\{18fb0dc9-3712-365d-8a66-626f76933ceb}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome nadal podwójna strona startowa adware Babylon:

 

========== Chrome  ==========

 

CHR - homepage: "http://search.babylon.com/?affID=110824&tt=251012_g1838_4312_5&babsrc=HP_ss&mntrId=d6aaa1f700000000000000234ee1f721"

CHR - homepage: "http://search.babylon.com/?affID=110824&tt=251012_g1838_4312_5&babsrc=HP_ss&mntrId=d6aaa1f700000000000000234ee1f721"

 

Wejdź do ustawień i w sekcji "Po uruchomieniu" wyczyść listę stron startowych + ustaw na "Otwórz stronę nowej karty". Ponadto wyczyść Historię przeglądarki.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

Odnośnik do komentarza

1. Wyniki MBAM: to już odpadkowe drobnostki i instalatory z adware. Usuń.

 

2. Na koniec zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są obecnie w systemie wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22

"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7

"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"AVG" = AVG 2011

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-2509133215-619625529-27150465-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: odinstaluj wszystkie wyliczone tu stare Adobe + Java + Silverlight i zastąp najnowszymi, zaktualizuj Google Chrome, OpenOffice.org i antywirusa.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...