Wirus cyberprzestępczości

**Posty:** 298 · przez **MK89** 11 Lis 2012, 22:34

Witam,

od dzisiaj walczę z tym wirusem. Początkowo myśli były inne, ale informacje na temat tego okienka pozwoliły od razu wywnioskować, że jest to wirus. Norton niestety usunął inne wirusy, ale tego najważniejszego nie udało mu się usunąć. Liczę na waszą pomoc, bo zastanawiałem się już nad formatem, ale wiele razy już mi pomogliście, więc postanowiłem się przypomnieć.

**Posty:** 4765 · przez **ordynat** 11 Lis 2012, 22:45

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - Startup: C:\Users\Mats&Dosi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
[2012-04-21 19:28:08 | 000,075,045 | ---- | C] () -- C:\Windows\System32\caeca715.exe
[2012-11-11 14:18:08 | 000,000,826 | ---- | C] () -- C:\Users\Mats&Dosi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012-11-11 14:18:07 | 083,023,306 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
O7 - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O4 - HKLM..\Run: [Browsers Protector] C:\Program Files\Browsers Protector\regmon32.exe ()
O4 - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001..\Run: [] File not found
O4 - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001..\Run: [KiesAirMessage] C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup File not found
O4 - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001..\Run: [Kookos] C:\Users\Mats&Dosi\AppData\Local\Kookos\kookos.exe silent File not found
O2 - BHO: (VshareComplete) - {222f31fb-a14e-4af2-bb14-997f28294370} - C:\Users\Mats&Dosi\AppData\Roaming\VshareComplete\VshareComplete.dll (SimplyGen)
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
[2012-01-02 10:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2012-10-27 17:10:23 | 000,000,792 | ---- | M] () -- C:\Users\Mats&Dosi\AppData\Roaming\mozilla\firefox\profiles\64u0zbbv.default\searchplugins\startsear.xml
[2012-04-21 19:28:08 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{0ed6f870-8606-502e-2114-47530316945b}
[2012-01-22 18:14:52 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\Mats&Dosi\AppData\Roaming\mozilla\Firefox\Profiles\64u0zbbv.default\extensions\{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a}
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a&q={searchTerms}
IE - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a
IE - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a&q={searchTerms}
IE - HKU\S-1-5-21-2899571473-1695677450-3588049639-1001\..\SearchScopes\{19ECFED3-6E74-416E-BD7F-85C23864951A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1d0bc0ad-fcb6-11e0-9c22-0019dbb4ba5a&q={searchTerms}

:Files
C:\Users\Mats&Dosi\AppData\Local\Temp*.html

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Użyj >Adw-cleaner. Kliknij w nim Delete
Pokaż raport z niego C:\AdwCleaner[S1].txt

Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://java.com/pl/download/windows_xpi.jsp?locale=pl
Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."
.

**Posty:** 298 · przez **MK89** 12 Lis 2012, 16:34

Wszystko wykonałem.

Przepraszam, że tak długo, ale dopiero Ci zauważyłem, że edytowałeś post

Na razie wszystko jest ok.

Wrzucam skan nowego loga oraz raporty.

Dodano 12.11.2012 15:36:57:
I jeszcze raport z usuwania, który nie chciał się dodać w załączniku:
http://wklej.org/id/868912/

**Posty:** 4765 · przez **ordynat** 12 Lis 2012, 16:37

Tak, jest OK.
W Adw-Cleaner kliknij na przycisk Uninstall
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

Autor postu otrzymał pochwałę

**Posty:** 298 · przez **MK89** 12 Lis 2012, 16:52

Dzięki