Wirus policja - blokada komputera

**Posty:** 5 · przez **Neiri** 27 Gru 2012, 12:31

Witam. Widzę, że problem jest w tym dziale dobrze znany. Pojawia się komunikat o zablokowaniu komputera przez policję. Logo policji, namawianie do wpłaty przez Paysafecard itp. Piszę tutaj i teraz tylko dlatego, że udało mi się go "chwilowo pozbyć". Po pokazaniu się błędu wcisnąłem włączanie komputera i podczas procesu wyłączania wirus się wyłączył, ale zdążyłem z zatrzymaniem zamykania systemu :lol:

Tak czy siak to w żaden sposób mnie nie urządza bo wirus będzie się pojawiał przy każdym włączeniu komputera co jest bardzo problematyczne i uciążliwe. Dlatego poniżej zamieszczam logi z OTL:

**Posty:** 4765 · przez **ordynat** 27 Gru 2012, 13:06

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\Agata\Ustawienia lokalne\Temp\wpbt0.dll
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.js
C:\Documents and Settings\Piotrek.PIOTREKS\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=S17HJ9DS601771_SAMSUNGHD252HJ&ts=1353611627
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=S17HJ9DS601771_SAMSUNGHD252HJ&ts=1353611627
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.v9.com/web/?q={searchTerms}
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=418&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5300095347084090&q={searchTerms}
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Piotrek\Lineage II\system\npkycryp.sys -- (npkycryp)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Piotrek\Lineage II\system\npkcrypt.sys -- (npkcrypt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena\plugins\UI\safedrv.sys -- (GGSAFERDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | Boot | Stopped] -- -- (gbumc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotrek\USTAWI~1\Temp\JIF17.tmp -- (GarenaPEngine)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Piotrek\[Renewal]EliteSro-Client(15-05-2011)\GameGuard\dump_wmimmc.sys -- (dump_wmimmc)
[2010-10-28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchquWebSearch.xml
[2012-11-29 15:20:21 | 000,002,687 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
[2009-10-23 08:15:16 | 000,002,381 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\sukoku123.xml
[2012-11-22 20:13:57 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof2.dll (Conduit Ltd.)
O2 - BHO: (no name) - {480B86B9-0923-4886-A944-00E9F00AEDED} - No CLSID value found.
O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O2 - BHO: (DataMngr) - {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media Inc)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O2 - BHO: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O3 - HKLM\..\Toolbar: (Softonic-Eng7 Toolbar) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\prxtbSof2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-688789844-839522115-1012\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-515967899-688789844-839522115-1012\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Search Results Toolbar\Datamngr\datamngrUI.exe (Bandoo Media Inc)
O4 - HKLM..\Run: [HostManager] C:\Program Files\Common Files\aol\1284737589\ee\aolsoftware.exe (AOL LLC)
O4 - HKLM..\Run: [NPSStartup] File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Search Results Toolbar\Datamngr\datamngr.dll (Bandoo Media Inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media Inc)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[S1].txt

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline)
.

**Posty:** 5 · przez **Neiri** 27 Gru 2012, 13:36

Oto potrzebne logi.

**Posty:** 4765 · przez **ordynat** 27 Gru 2012, 14:04

Zapomniałem jeszcze o czymś (teraz usługa Systemowa winmgmt jest uruchamiana plikiem infekcji):
Do >SystemLook wklej:

:regfind
wpbt0.dll

Naciśnij Look i pokaż raport.
.

**Posty:** 5 · przez **Neiri** 27 Gru 2012, 14:11

SystemLook 30.07.11 by jpshortstuff
Log created at 13:09 on 28/12/2012 by Agata
Administrator - Elevation successful

========== regfind ==========

Searching for "wpbt0.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"="C:\DOCUME~1\Agata\USTAWI~1\Temp\wpbt0.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters]
"ServiceDll"="C:\DOCUME~1\Agata\USTAWI~1\Temp\wpbt0.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"="C:\DOCUME~1\Agata\USTAWI~1\Temp\wpbt0.dll"

-= EOF =-

**Posty:** 4765 · przez **ordynat** 27 Gru 2012, 14:18

Do Notatnika wklej:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

Zrób nowy log z SystemLook, na poprzednim ustawieniu.
.

**Posty:** 5 · przez **Neiri** 27 Gru 2012, 16:54

SystemLook 30.07.11 by jpshortstuff
Log created at 15:52 on 28/12/2012 by Agata
Administrator - Elevation successful

========== regfind ==========

Searching for "wpbt0.dll"
No data found.

-= EOF =-

**Posty:** 4765 · przez **ordynat** 27 Gru 2012, 17:12

Powinno być już OK.
Kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

SystemLook - usuń ręcznie.
.

**Posty:** 5 · przez **Neiri** 27 Gru 2012, 22:07

Wielkie dzięki za pomoc mistrzu

Kto jest na forum