Wirus "policyjny"

**Posty:** 16 · przez **adammiask** 26 Sty 2013, 16:09

Mam podobny problem mógł byś wyjasnić jak zrobić logi z wiersza poleceń bo nic innego mi nie działa

**Posty:** 4765 · przez **ordynat** 26 Sty 2013, 16:28

Zrób tak - pobierz narzędzie OTL z poziomu innego komputera lub konta i zapisz np. na pendrive i podepnij go pod zainfekowany komputer. Następnie wejdź w Tryb awaryjny z obsługą Wiersza polecenia i na właściwe konto, w linii komend wpisz X:\OTL.exe (gdzie X = litera pendrive, np. F:\OTL.exe) i wciśnij ENTER, uruchomi się OTL i w nim opcja Skanuj, na pendrive powstaną logi, które przedstawisz na forum.
.

**Posty:** 16 · przez **adammiask** 26 Sty 2013, 16:53

mam loga z OLT:
http://wklej.org/id/938410/

**Posty:** 4765 · przez **ordynat** 26 Sty 2013, 16:57

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

Kod: Zaznacz wszystko: :Files C:\ProgramData\0tbpw.js C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\0tbpw.pad C:\Users\Ewelina\AppData\Local\Temp\wpbt0.dll C:\Users\Ewelina\AppData\Roaming\.# D:\09lf.exe D:\EXPLORER.EXE :OTL O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc) O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found O4 - HKU\S-1-5-21-257157778-3992190038-3370010153-1000..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found O4 - HKU\S-1-5-21-257157778-3992190038-3370010153-1000..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe File not found O4 - HKLM..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe File not found O4 - HKLM..\Run: [jswtrayutil] "C:\Program Files\Jumpstart\jswtrayutil.exe" File not found O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKLM..\Run: [cfFncEnabler.exe] cfFncEnabler.exe File not found O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc) O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com) O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com) O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc) [2012-10-30 21:16:00 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-10-30 21:16:50 | 000,000,000 | ---D | M] (DataMngr) -- C:\PROGRAM FILES\SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION [2012-10-30 21:16:00 | 000,002,515 | ---- | M] () -- C:\Users\Ewelina\AppData\Roaming\mozilla\firefox\profiles\u5ahmphy.default\searchplugins\Search_Results.xml [2012-10-30 21:16:21 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Ewelina\AppData\Roaming\mozilla\Firefox\Profiles\u5ahmphy.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=419&sr=0&q=" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" IE - HKU\S-1-5-21-257157778-3992190038-3370010153-1000\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com) IE - HKU\S-1-5-21-257157778-3992190038-3370010153-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/419 DRV - File not found [Kernel | On_Demand | Stopped] -- E:\gry\sims 3\The.Sims.3.PL\MuGuard\llck.sys -- (LLRING0) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}] [-HKEY_USERS\S-1-5-21-257157778-3992190038-3370010153-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}] :Commands [emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Masz Adw-Cleaner - użyj go z opcji USUŃ, daj z tego raport.

3) Do >SystemLook wklej:

:regfind
wpbt0.dll

Naciśnij Look i pokaż raport.

4) Jeśli jeszcze masz tego zarażonego pendrive'a (w logu widać ślady infekcji pendrivowej), to go podepnij i użyj >USBFix z opcji DELETION >http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__74#entry74
Daj z tego raport.
.

Autor postu otrzymał pochwałę

**Posty:** 16 · przez **adammiask** 26 Sty 2013, 17:18

aa jak mam to wkleić to do OLT ??

**Posty:** 4765 · przez **ordynat** 26 Sty 2013, 17:21

kliknij na "ZAZNACZ WSZYSTKO", potem z prawokliku wybierz "KOPIUJ", włącz OTL, na dolnym polu z prawokliku wybierz "WKLEJ".
.

**Posty:** 16 · przez **adammiask** 26 Sty 2013, 18:01

logi skrypy:
http://wklej.org/id/938477/

OTL:
http://wklej.org/id/938480/

ADW cleaner:
http://wklej.org/id/938482/

**Posty:** 4765 · przez **ordynat** 26 Sty 2013, 18:07

Jest OK.
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

EDIT:
Nie dałeś logu z SystemLook - pokaż go.
.
.

**Posty:** 16 · przez **adammiask** 26 Sty 2013, 18:10

ok jeszcze jeden log:

SystemLook 30.07.11 by jpshortstuff
Log created at 17:06 on 26/01/2013 by Ewelina
Administrator - Elevation successful

========== regfind ==========

Searching for "wpbt0.dll"
No data found.

-= EOF =-

aa tego pendriva nie mam.
Dzięki komp juz smiga

**Posty:** 4765 · przez **ordynat** 26 Sty 2013, 18:15

SystemLook już nic nie wykrył.
SystemLook - usuń ręcznie.
To wszystko.
.

Kto jest na forum