Wirus Polizja, jak usunąć bez wchodzenia do trybu awaryjnego

[OnlyTrue]

Witam

Znajomy podrzucił mi laptopa gdzie złapał wirusa Polizja. Biuro Służby Kryminalnej.

Nie pisałbym tematu gdyby nie to, że problem mam z trybem awaryjnym tzn. czy odpala tryb awaryjny zwykly czy z obsługą sieci po kliknięciu tego komunikatu "ze wiem ze bede pracował w trybie awaryjnym itp." komputer się wylogowuje i restart kompa. Nie mogę wejść więc do trybu awaryjnego ani z konta użytkownika ani administratora. I tu moje pytanie czy można jakoś poradzić sobie z tym wirusem w normalnym trybie bądź czy usunę go z hiren's bot'a z live windows czy to musi dziać się na koncie na którym wyskakuje ten komunikat ?

 

 

Nie wiem czy tak miało to wyglądać ale zrobiłem FRST z poziomu MiniXP z Hiren's Bot

 

Logi

FRST.txt

[picasso]

Posty sklejam. Zostawiam tylko log FRST zrobiony z poziomu płyty Hirens, reszta później zrobionych logów w większości niepoprawna (kompletnie puste pliki FRST i OTL). Jest tu problem z wejściem w obojętny tryb Windows, gdyż infekcja przekonfigurowała usługę Instrumentacji Windows (Winmgmt). To nie jedyna infekcja w systemie, jest i adware, ale to doczyścimy dokładniej potem spod Windows, gdyż raport FRST spod Hirens jest bardzo okrojony.

 

1. Przygotuj w Notatniku plik o zawartości:

 

S2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2014-03-18] (APN LLC.)
S2 FromDocToPDF_65Service; C:\Program Files\FromDocToPDF_65\bar\1.bin\65barsvc.exe [42504 2013-06-08] (COMPANYVERS_NAME)
S2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1863984 2014-04-07] ()
S2 Update LinkSwift; C:\Program Files\LinkSwift\updateLinkSwift.exe [317728 2014-05-17] ()
S2 Util LinkSwift; C:\Program Files\LinkSwift\bin\utilLinkSwift.exe [317728 2014-05-19] ()
S2 winmgmt; C:\Documents and Settings\All Users\Dane aplikacji\2992199F9A\0ve1t79.cpp [164864 2014-05-18] ()
C:\Documents and Settings\All Users\Dane aplikacji\2992199F9A
S4 Browser Manager; C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [X]
S1 {25d71abf-7776-46f5-a269-9951331f9030}t; C:\Windows\System32\drivers\{25d71abf-7776-46f5-a269-9951331f9030}t.sys [55224 2014-04-24] (StdLib)
C:\Windows\System32\drivers\{25d71abf-7776-46f5-a269-9951331f9030}t.sys
S3 ADDMEM; \??\C:\DOCUME~1\Daniel\USTAWI~1\Temp\__Samsung_Update\ADDMEM.SYS [X]
HKLM\...\Run: [sweetIM] => C:\Program Files\SweetIM\Messenger\SweetIM.exe [115032 2012-10-04] (SweetIM Technologies Ltd.)
HKLM\...\Run: [sweetpacks Communicator] => C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.)
HKLM\...\Run: [ApnTBMon] => C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1801168 2014-03-18] (APN)
HKLM\...\Run: [FromDocToPDF Search Scope Monitor] => C:\Program Files\FromDocToPDF_65\bar\1.bin\65SrchMn.exe [44784 2013-06-08] (MindSpark)
HKLM\...\Run: [FromDocToPDF_65 Browser Plugin Loader] => C:\Program Files\FromDocToPDF_65\bar\1.bin\65brmon.exe [30096 2013-06-08] (VER_COMPANY_NAME)
AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll File Not Found

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Akcję wykonujesz za pomocą FRST uruchomionego z poziomu płyty Hirens (a nie spod Windows). Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. System zostanie odblokowany. Wchodzisz do Windows i robisz obowiązkowe tu logi FRST, OTL i GMER. Dołącz także plik fixlog.txt pozyskany w pnkcie 1.

 

 

 

.