Wirus - polizja biuro sluzby kryminalnej

[Buszinio]

Witam. Koledzy i Koleżanki , wspomóżcie radą... Jak pozbyć się wirusa "Polizja Biuro Sluzby Kryminalnej" mając zablokowane wszystkie tryby awaryjne (nawet z wierszem poleceń). Sytuacja wygląda tak, że jak wchodzę w awaryjnym komp się uruchamia ponownie.

[ordynat]

Pierwszy sposób: sformatować dysk.
Drugi sposób: http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/

[Buszinio]

Oto log z OTLPE. Jakie wpisy nalezy usunac, aby pozbyc sie wirusa oraz innych niepotrzebnych rzeczy?

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\All Users\Dane aplikacji\tv0.exe
C:\Documents and Settings\Patryk & Es\Menu Start\Programy\Autostart\wlivoi.lnk
C:\Documents and Settings\All Users\Dane aplikacji\iovilw.plz
C:\Documents and Settings\All Users\Dane aplikacji\wlivoi.pff
C:\Documents and Settings\All Users\Dane aplikacji\wlivoi.ctrl

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (jeśli się da, to do Trybu Normalnego) .

Użyj Adw-Cleaner z opcji USUŃ http://www.programosy.pl/program,adwcleaner.html
Daj z tego raport.
Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Zrób nowy log z OTL.
.

[Buszinio]

Po sprzątaniu w OTL system odpala, lecz wyświetla się taki komunikat:



Logi w załącznikach.

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
FF - prefs.js..browser.search.order.1: "Ask.com"
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [UnlockerAssistant] "D:\Unlocker\UnlockerAssistant.exe" File not found
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
C:\Documents and Settings\Patryk & Es\Menu Start\Programy\Autostart\wlivoi.lnk

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Do >SystemLook wklej:

:reg
:filefind
wlivoi.lnk

:regfind
iovilw.plz
wlivoi.lnk

Naciśnij Look i pokaż raport.
.

[Buszinio]

Raporty

[ordynat]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\Patryk & Es\Menu Start\Programy\Autostart\wlivoi.lnk

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z SystemLook, na poprzednim ustawieniu.
.

Autor postu otrzymał pochwałę

[Buszinio]

Jeszcze raz...

[ordynat]

Do Notatnika wklej:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Patryk  & Es^Menu Start^Programy^Autostart^wlivoi.lnk]



Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
.

[Buszinio]

Wszystko w porządku, wielkie dzięki.