Wirus cyberprzestępczość

[elektrix8]

Witam,
Proszę o pomoc w usunięciu wirusa podającego się za policję, wykonałem logi OTL z trybu awaryjnego z wierszem poleceń gdyż zwykły tryb awaryjny również jest zawirusowany. Udało mi się dojść na podstawie wygenerowanego pliku iż problemem są elementy zainstalowane 13-02-2013 o godz. 16:40, aby czegoś nie przeoczyć proszę o pomoc przy stworzeniu skryptu do usunięcia wirusa.

[ordynat]

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

Kod: Zaznacz wszystko

:Files
C:\Documents and Settings\darios\6883391.dll
C:\Documents and Settings\All Users\Dane aplikacji\1933886.pad
C:\Documents and Settings\All Users\Dane aplikacji\1933886.js
C:\Documents and Settings\darios\1369159.dll
C:\Documents and Settings\darios\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\darios\6883391.dll
RECYCLER /alldrives

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\darios\Pulpit\WINDOW~1\WINDOW~1\AIRCRA~1.1_W\PEEK5.SYS -- (PEEK5)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=28c93f68000000000000001de03baaf7"
FF - prefs.js..extensions.enabledItems: gencrawler@some.com:2.6
[2010-03-04 08:04:04 | 000,002,426 | ---- | M] () -- C:\Documents and Settings\darios\Dane aplikacji\Mozilla\Firefox\Profiles\7i87zq4g.default\searchplugins\askcom.xml
[2010-03-16 10:33:24 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\darios\Dane aplikacji\Mozilla\Firefox\Profiles\7i87zq4g.default\searchplugins\conduit.xml
[2012-03-31 09:01:40 | 000,000,000 | ---D | M] (General Crawler) -- C:\DOCUMENTS AND SETTINGS\DARIOS\DANE APLIKACJI\MOZILLA\EXTENSIONS\{EC8030F7-C20A-464F-9B0E-13A3A9E97384}\GENCRAWLER@SOME.COM
[2012-03-31 09:01:30 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\darios\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: [ABBYY Screenshot Reader Bonus] "C:\Program Files\ABBYY PDF Transformer 3.0\Bonus.ScreenshotReader.exe" -autorun File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5519932666-9473084129-791597020-6096\nissan.exe) -  File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]


Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[S1].txt

3) Do >SystemLook wklej:

:regfind
6883391.dll

Naciśnij Look i pokaż raport.
.

Autor postu otrzymał pochwałę

[elektrix8]

System zaczął działać poprawnie. Przesyłam pliki do sprawdzenia

[ordynat]

Jeszcze log z SystemLook (mój poprzedni post)

[elektrix8]

Brakujący plik.

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\darios\6883391.dll

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Do SystemLook wklej:

:filefind
6883391.dll

Naciśnij Look i pokaż raport.
.

[elektrix8]

cdn

[ordynat]

Powinno już być OK.
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
.

[elektrix8]

Bardzo dziękuje za odratowanie systemu:)