Skocz do zawartości

Internet Security 2013 + Polizja...


klimrewop

Rekomendowane odpowiedzi

Witam!
 
Mój znajomy miał problem z Internet Security 2013, usunąłem go uruchamiając combofixa w trybie awaryjnym. Chciałem wrzucić logi, ale nie było czasu. Tydzień później do mnie dzwonił i tym razem problem ze dość znanym ekranem blokującym pulpit "Polizja". Za nic nie chciał uruchomić się w trybie awaryjnym, ale jakimś cudem zamknąłem proces, usunąłem plik z autostarta, przeczyściłem combofixem oraz usunąłem plik w C:\Windows\System32. Tym razem mam ten komputer u siebie, więc wrzucam logi. Ale jest taki problem, że OTL się zawiesza i nie odpowiada... (oto screen).

 

Z góry dzięki za pomoc.
 
Wrzucam też SecurityChecka:

Results of screen317's Security Check version 0.99.74  
 Windows XP Service Pack 3 x86   
 Internet Explorer 6 Out of date!
``````````````Antivirus/Firewall Check:``````````````
 Windows Security Center service is not running! This report may not be accurate!
 WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
 CCleaner     
 Java 6 Update 31  
 Java version out of Date!
 Adobe Flash Player 9 Flash Player out of Date!
 Adobe Flash Player 10 Flash Player out of Date!
 Adobe Flash Player     11.9.900.117  
 Adobe Reader XI  
 Mozilla Firefox (24.0)
 Google Chrome 29.0.1547.76  
 Google Chrome 30.0.1599.69  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

 

 

post-6595-0-43750000-1381529203_thumb.png

FRST.txt

Addition.txt

Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

OTL zacina się na monstrualnie wielkiej wartości dodanej przez infekcję. Skan FRST za to gładko przeszedł i ją pokazuje w całości. Infekcja "Polizja" nie jest usunięta w pełni, nadal w starcie skrót oraz kilka innych plików na dysku. Wykonaj następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\Grzegorz\Menu Start\Programy\Autostart\lczj2bnlclc.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lczj2bnlclc.pff
C:\Documents and Settings\All Users\Dane aplikacji\lczj2bnlclc.ctrl
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=67&cf=a950c196-8b57-11e2-8c88-00e04c0736f4
URLSearchHook: (No Name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File
Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File
CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vSharetv plugin\vshareplg.crx
S3 catchme; \??\C:\DOCUME~1\Grzegorz\USTAWI~1\Temp\catchme.sys [x]
S4 hpt3xx; No ImagePath
AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D}
Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3656936363 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware vSharetv. Wyczyść Google Chrome z adware i pustych wpisów:

  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
  • Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres startsear.ch
  • Ustawienia > karta Rozszerzenia > odinstaluj vShare.tv plugin (wpisu może już nie być po ogólnej deinstalacji)
  • Ustawienia > karta Historia > wyczyść
3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.

Odnośnik do odpowiedzi

Kombinowałeś z podstawianiem pliku rundll32, jedna z lokalizacji nieprawidłowa:

 

2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\rundll32.exe

2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\system32\rundll32.exe

2013-10-12 08:23 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\rundll32.exe

 

Fixlog wskazuje, że skrypt został użyty dwa razy, co nie ma sensu, gdyż skrypt nie powtórzy usuwania tych samych elementów. Poza tym, Fixlog wygląda na niekompletny, jest odcięta mniej więcej połowa wyników. Powtórka:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\rundll32.exe
BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3656936363 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...