Komputer zablokowany przez Policje

[HouseNight]

Witam

 

Przed momentem przy przeglądaniu stron internetowych komputer został zablokowany przez wirus Policja.

 

Załączam logi :

Extras.Txt

OTL.Txt

[Conor29134]

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
O4 - HKU\S-1-5-21-705213549-1148389428-3792879806-1000..\Run: [] C:\Users\Tomek\ahgildhxnqvlsecgectrvv.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}

:Files
C:\Users\Tomek\ahgildhxnqvlsecgectrvv.exe
C:\Users\Tomek\tqppjlselzl.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.google.pl/"
"Default_Search_URL"="http://www.google.pl/"
"Search Page"="http://www.google.pl/"

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

2.Podaj nowy log z OTL

[HouseNight]

Pliki:

OTL.Txt

[Conor29134]

Wogóle nie wykonałeś skryptu według nowego loga, wykonaj ten z 1 postu i dopiero nowy log pisałem wklej i kliknij wykonaj skrypt

i dodatkowo jako że dałem tam tylko korekcje na HKLM a na HKU nie to:

 

Użyj adwcleaner-a

 

http://general-changelog-team.fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

 

Opcja delete

[HouseNight]

Wykonałem skrypt tylko, że jak skopiowałem i wkleiłem skrypt do OTL to wkleiło mi tekst w jednej linijce bez odstępów. Dopiero drugim razem musiałem rozdzielić tak jak na stronie i wtedy poszło.

 

Użyłem adwcleaner-a tak jak w instrukcji.

OTL.Txt

AdwCleanerS1.txt

[Conor29134]

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9500420AS_5VJ5H405____5VJ5H405&ts=1354552466
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9500420AS_5VJ5H405____5VJ5H405&ts=1354552466

 

Kliknij Wykonaj skrypt

 

 

2.Pobierz system lookx64 uruchom i do okienka wklej:

:dir
C:\Windows\0
C:\Windows\System32\0
C:\Windows\SysWow64\0

 

Kliknij look i podaj raport

[HouseNight]

Zrobione

SystemLook.txt

[Conor29134]

dziwne to trochę bo systemlook nic nie widzi nawet tych folderów no ale skoro nie widzi to już nie będe się nad tym rozwodził.

Teraz proponuje spokojnie poczekać na Landussa/Picasso jak wrócą to sprawdzą oni logi i zdecydują się co trzeba zrobić.

[HouseNight]

Ok

Dzieki

[HouseNight]

Czekam na dalsze rady co zrobić.

[picasso]

Conor29134

 

Pierwszy skrypt: importujesz klucz 64-bit a w raporcie zmodyfikowany 32-bitowy. Twój ostatni skrypt bezcelowy. On najpierw zrobił log z OTL, a po tym użył AdwCleaner, który konfigurował wpisy, które ... zadajesz w skrypcie. I zmian po użyciu AdwCleaner jest więcej (zeruje domyślne wyszukiwarki IE), czego nie widać ze względu na stary OTL. A co do:

 

 

dziwne to trochę bo systemlook nic nie widzi nawet tych folderów no ale skoro nie widzi to już nie będe się nad tym rozwodził.

 

To nie są foldery tylko pliki. Atrybuty podane bez wątpliwości:

 

[2012-12-19 23:32:28 | 000,000,000 | ---- | C] () -- C:\Windows\SysNative\0
[2012-12-19 23:31:05 | 000,000,032 | ---- | C] () -- C:\Windows\0
[2012-12-19 23:31:05 | 000,000,000 | ---- | C] () -- C:\Windows\SysWow64\0

 

 

HouseNight

 

Poproszę o nowy log OTL z opcji Skanuj.

 

 

 

 

.

[HouseNight]

Nowy log

OTL.Txt

[picasso]

Tylko poprawki i kończymy:

 

1. Skasuj ręcznie te "zerowe" pliki z dysku:

 

C:\Windows\0

C:\Windows\system32\0

C:\Windows\SysWow64\0

 

2. Zgodnie z tym co mówiłam stan rzeczy inny po użyciu AdwCleaner. Załaduj korektę rejestru na domyślne wyszukiwarki IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi: KLIK. Wg Twojego raportu masz obecnie zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

 

 

 

 

.

[HouseNight]

Zrobione

 

Dziękuję za pomoc