Komp zawirusowany przez policję

[nieogarnieta]

Witam, jestem tu po raz pierwszy więc z góry przepraszam, jeśli mój temat jest w złym dziale itd. Mam problem z kompem koleżanki. Wyświetlił nam się komunikat o zablokowaniu kompa przez policję. Nie powiem strachu się trochę najadłyśmy, ale potem okazało się że to wirus. Poczytałam trochę o tym na forach (m.in. tutaj) i zrobiłam skan programem OTL. Poniżej wyniki.

 

Błagam pomóżcie, tylko opiszcie co mam zrobić w miarę prostym językiem, jestem humanistką, nie informatykiem

 

Z góry dzięki za pomoc

Extras.Txt

OTL..Txt

[picasso]

Witam, jestem tu po raz pierwszy więc z góry przepraszam, jeśli mój temat jest w złym dziale itd.

 

Temat we właściwym dziale. Te wątpliwości każą mi się zastanawiać czy zostały przeczytane zasady działu: KLIK.

 

Przechodząc do usuwania infekcj i adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Gieniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Gieniek\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Gieniek\AppData\Roaming\abpzlw.dat
C:\Users\Gieniek\AppData\Roaming\avdrn.dat
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:OTL
IE - HKLM\..\SearchScopes\{59189249-3A38-4C27-A13D-08E2747D9EC5}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b10530b4-b18d-11e1-86a2-8ceb3a0859b8&q={searchTerms}"
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=251012_g1838_4312_5&babsrc=SP_ss&mntrId=d6aaa1f700000000000000234ee1f721"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{59189249-3A38-4C27-A13D-08E2747D9EC5}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b10530b4-b18d-11e1-86a2-8ceb3a0859b8&q={searchTerms}"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searc={searchTerms}&FORM=LENIE"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{C9DE90BA-74D0-4909-8B6A-1481079F4B37}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8AE3D556-6FE0-4938-A771-69A5951CABF7&apn_sauid=4508DFA6-5EA9-4C67-8271-22AFC7EAC5E7"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = "http://search.avg.com/route/?d=4b3d2cf0&i=23&tp=chrome&q={searchTerms}&lng={language}&ychte=us&nt=1"
IE - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-10-28 17:42:06 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2509133215-619625529-27150465-1004\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Value error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Babylon toolbar, BabylonObjectInstaller, Browser Manager, Browsers Protector, Contextual Tool Extrafind, FoxTab FLV Player, McAfee Security Scan Plus, Przyspiesz Komputer, StartSearch Toolbar 1.3. Dodatkowo stary Firefox 4.0 Beta 5.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[nieogarnieta]

Witam, zaległości nadrobione - zasady działu przeczytane co do samego rozwiązywania problemu: prawie wszystko poszło jak z płatka, odinstalowałam co trzeba i próbowałam uruchomić AddCleaner. Niestety AVG wykrywa go jako wirusa, dlatego zrobiłam jedynie ponowny skan OTL. Poniżej raport.

 

Proszę o dalsze instrukcje

OTL.,Txt.txt

[picasso]

próbowałam uruchomić AddCleaner. Niestety AVG wykrywa go jako wirusa, dlatego zrobiłam jedynie ponowny skan OTL

 

To fałszywy alarm. Wyłącz AVG na czas operacji, uruchom AdwCleaner i podaj jego log, następnie zrób nowy log OTL.

 

 

.

[nieogarnieta]

Wszystko zrobione tak jak trzeba, poniżej logi. Nie wiem czemu ale logi z AdwCleanera otworzyły mi się dopiero za drugim razem. Ale to chyba nie ma znaczenia?

AdwCleanerS2.txt

OTL3.Txt

[picasso]

Zadania pomyślnie wykonane. Kolejne czynności do wykonania:

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\Mozilla Firefox\extensions\{18fb0dc9-3712-365d-8a66-626f76933ceb}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome nadal podwójna strona startowa adware Babylon:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.babylon.com/?affID=110824&tt=251012_g1838_4312_5&babsrc=HP_ss&mntrId=d6aaa1f700000000000000234ee1f721"
CHR - homepage: "http://search.babylon.com/?affID=110824&tt=251012_g1838_4312_5&babsrc=HP_ss&mntrId=d6aaa1f700000000000000234ee1f721"

 

Wejdź do ustawień i w sekcji "Po uruchomieniu" wyczyść listę stron startowych + ustaw na "Otwórz stronę nowej karty". Ponadto wyczyść Historię przeglądarki.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[nieogarnieta]

Wszystko zrobione, Malwarebytes wykryło 4 trojany. Poniżej raport. Czekam na dalsze instrukcje

mbam-log-2012-12-15 (02-28-14).txt

[picasso]

1. Wyniki MBAM: to już odpadkowe drobnostki i instalatory z adware. Usuń.

 

2. Na koniec zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są obecnie w systemie wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AVG" = AVG 2011
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2509133215-619625529-27150465-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: odinstaluj wszystkie wyliczone tu stare Adobe + Java + Silverlight i zastąp najnowszymi, zaktualizuj Google Chrome, OpenOffice.org i antywirusa.

 

 

 

.