Problem z wirusem "policyjnym"

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 17:52

Problem na forum znany, więc bez rozpisywania załączam logi z gmera i otl

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 18:29

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\ewa\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\ewa\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Odinstaluj:
AVG Secure Search
Ask.com
"Akamai" = Akamai NetSession Interface

3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[S1].txt

4) Do >SystemLook wklej:

:regfind
wgsdgsdgdsgsd

Naciśnij Look i pokaż raport.

5) Zrób nowy log z OTL.
.

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 20:11

Zrobiłam według instrukcji, choć za każdym restartem komputera znowu pojawiał się ekran z wirusem, po iluś tam próbach komp się załączał.
a i SystemLook nie dało się przeskanować pojawiał się komunikat, że program natrafił na problem i że zostanie automatycznie zamknięty.
Poniżej wszystkie wymagane logi ten z system look też wkleję choć pewnie nie o taki chodziło.

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 20:59

powtórz punkt 1 , 4, 5

nawiasem mówiąc, to ostatni log OTL. ma identyczną godzinę jego zrobienia, jak pierwszy log, i na dodatek jest też oznaczenie, że jest to pierwszy log:
OTL logfile created on: 2012-12-23 16:44:02 - Run 1
Co dziwniejsze - log ma datę sprzed 6 dni.
O co tu chodzi? To jakiś żart?
.

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 21:24

Jesli chodzi o daty to żeby wogole uruchomic komputer bez tej planszy z wirusem ktora blokuje kompa w biosie dałam datę wczesniejsza, bo po restarcie kompa nie chciał się uruchomic.

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 21:40

a ja nie mam pojęcia, jaka jest aktualna sytuacja.
Zrób nowy log z OTL oraz z SystemLook (na poprzednim ustawieniu).
.

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 22:01

Zrobiłam nowy log z otl niestety systemlook ponownie nie zakończył skanowania nastąpił komunikat, że program natrafił na problemy i się automatycznie wyłączy.
Daty teraz już pozmieniałam na aktualne ale nie wiem czy jesli będzie potrzebny restart kopmutera znowu żeby zalączyć komputer bez tej planszy nie będę musiała ich pozmieniać na wczeniejsze.

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 22:10

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\ewa\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\ewa\Menu Start\Programy\Autostart\runctf.lnk

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q="
[2012-11-08 10:01:07 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-11-07 18:02:39 | 000,000,000 | ---D | M] (Ashampoo PO Community Toolbar) -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2012-09-06 21:32:24 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\extensions\toolbar@ask.com
[2012-09-06 21:32:25 | 000,002,299 | ---- | M] () -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\searchplugins\askcom.xml
[2012-09-08 17:18:46 | 000,002,306 | ---- | M] () -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\searchplugins\askcomsearch.xml
[2012-06-07 21:15:20 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\ewa\Dane aplikacji\Mozilla\Firefox\Profiles\fad3hduv.default\searchplugins\conduit.xml
O3 - HKU\S-1-5-21-1123561945-651377827-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
O4 - HKU\S-1-5-21-1123561945-651377827-839522115-1003..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\ewa\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
.

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 22:40

Załączam logi.
W czasie skanowania otl Avira znalazł wirusa TR/Meredrop.A.12609 was found in file C:\Documents and Settings\ewa\wgsdgsdgdsgsd.dll, narazie nie robiłam nic z nim za pomocą aviry bo czekam na Twoje instrukcje.

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 22:49

to na nic - z nieznanych mi powodów u Ciebie ta infekcja odnawia się natychmiast po usunięciu.
To co wykryła Avira, to było już dwukrotnie usuwane, i dalej jest.
Następna próba:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

Kod: Zaznacz wszystko: :Files C:\Documents and Settings\ewa\wgsdgsdgdsgsd.dll C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\ewa\Menu Start\Programy\Autostart\runctf.lnk :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 :Commands [emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 23:03

Zamieszczam logi.
Tym razem po restarcie po raz pierwszy uruchomił się komp normalnie, bez tej blokady.

**Posty:** 4765 · przez **ordynat** 29 Gru 2012, 23:13

Tak, chyba się udało.
W Adw-Cleaner kliknij na przycisk Odinstaluj
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
.

Autor postu otrzymał pochwałę

**Posty:** 9 · przez **ewa78** 29 Gru 2012, 23:28

Komputer śmiga, po restarcie włącza się normalnie.
Bardzo dziękuję za pomoc i poświęcony czas

Kto jest na forum