Wirus "Polizja Biuro Służby kryminalnej"

[aprwdz 0]

1. Nie ma u mnie takiego pliku:

G:\lge.exe

Pozatym wszystko wykonałem.

Bardzo Ci dziękuje za pomoc.

Pozdrawiam serdecznie

[Ania92 0]

Ratujcie!

Załapałam takiego wirusa. Jestem zielona i proszę o pomoc.

Zrobiłam wszystko jak opisane wcześniej i poniżej podaję linki do:

OTL http://wklej.to/KH33Y

Extras http://wklej.to/fVVnt

Z góry dziękuję

[filutka78 11]

---------->>@Ania92

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-09-25 23:09:15 | 000,000,004 | ---- | C] () -- C:\Users\Przyczynki\AppData\Roaming\settings.ini

[2013-09-11 17:56:56 | 000,071,680 | ---- | C] () -- C:\Users\Przyczynki\AppData\Roaming\data.dat

[2013-09-26 17:13:27 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

[2013-09-26 17:13:27 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

O20 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000 Winlogon: Shell - (C:\Users\Przyczynki\AppData\Roaming\data.dat) - C:\Users\Przyczynki\AppData\Roaming\data.dat ()

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O4 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000..\Run: [Device Detector] DevDetect.exe -autorun File not found

O3 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

 

:Files

C:\Users\Przyczynki\AppData\Roaming\data.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.

 

2) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowy log z OTL

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

 

F.

 

 

 

 

************************************

 

---------->>@aprwdz

 

to był/jest plik na jakiejś pamięci przenośnej .

 

F.

[Ania92 0]

Chyba jest super - DZIAŁA

A oto raport:

AdwCleaner http://wklej.to/2zH83

OLT http://wklej.to/peMJf

 

Jave zainstalowałam

[filutka78 11]

----------->>@Ania92

 

Raport z Adw-Cleaner jest z opcji SCAN, a powinien być z opcji CLEAN.

 

Kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[Ania92 0]

Dziękuję bardzo!

Odinstalowane i posprzątane

[hellfirecc 0]

Witam wszystkich

 

Znajomy złapał tego wirusa - co ciekawe komputer chroniony aktualnym Nortonem.

 

Uruchomiłem adw-cleanera, który coś tam wykrył, coś pokasował (niestety nie mam logów).

Wygląda na to że wirus został uszkodzony.

 

Wcześniej pojawiało się białe tło z "polizją", teraz zostaje tylko białe tło i nic się dalej nie dzieje.

Logując się jako drugi użytkownik na tym komputerze - nie ma problemu i wszystko działa.

Tryb awaryjny również bez problemu.

 

OTL: http://wklej.to/jOErS

Extras: http://wklej.to/dWw4Y

 

Bardzo proszę o pomoc

[filutka78 11]

------------>>@hellfirecc

 

W logach nie ma infekcji.

Szkoda, że na własną rękę usuwałeś, teraz nie wiadomo, co poszło "nie tak".

 

Był używany ComboFix - pokaż tamten log z niego - o ile jesZcze go masz.

 

Zrób logi z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

 

F.

 

(nie śpisz się - idę już spać)

[hellfirecc 0]

------------>>@hellfirecc

 

W logach nie ma infekcji.

Szkoda, że na własną rękę usuwałeś, teraz nie wiadomo, co poszło "nie tak".

 

 

No niestety - rutyna.

Parę razy już tą "polizję" widziałem, za każdym razem wylatywało bez zgrzytów, a tym razem jakaś lipa.

 

Tym razem kolejność była taka - właściciel komputera najpierw skanował Norton AV i tu nie wiem co się działo, podobno Norton "nic nie znalazł".

Potem ja uruchomiłem adw-cleanera i po tej operacji już było "popsute".

Na koniec jeszcze zadziałałem ComboFix.

 

Ale popsuł albo Norton, albo adw-cleaner, albo "samo" się popsuło.

 

W każdym razie znalazłem coś takiego w logu FRST: http://wklej.to/fpere

HKU\mieczysław\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\mieczysław\Dane aplikacji\cache.dat [ 2010-12-09] () <==== ATTENTION

 

wywaliłem (i klucz i ten cache.dat) i system wstał.

 

W każdym razie dzięki za pomoc i dobrej nocy życzę

[filutka78 11]

---------->>@hellfirecc

 

Usuń jeszcze plik C:\Documents and Settings\mieczysław\Dane aplikacji\cache.ini

 

Adw-Cleaner usuwa tylko sponsorskie śmieci, w ogóle nie usuwa infekcji, wiec nie mógł niczego popsuć.

 

Kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

FRST - niczego nim nie usuwaliśmy, więc nie ma Kwarantanny - możesz go usunąć albo sobie zostawić.

 

F.

[Mathi93 0]

Witam. Znajomy miał zarażony komputer tą infekcją. Udało mu się ją usunąć programem Malwarebytes Anti-Malware. Jednakże ma wątpliwości co do usunięcia infekcji oraz pozostałości.

Przedstawiam aktualne logi z OTL:

OTL: http://wklej.to/le942

Extras: http://wklej.to/B3L13

[filutka78 11]

----------->>@Mathi93

 

Po tej infekcji pozostał jeszcze 1 plik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-09-28 15:06:59 | 000,000,004 | ---- | C] () -- C:\Users\Olsen\AppData\Roaming\settings.ini

 

:Files

C:\Users\Olsen\Documents\cc_*.reg

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{338A7DD7-4924-4e5c-B812-9768B947FB91}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] /64

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] /64

"Start Page"="http://www.google.com/"

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[Mathi93 0]

Proszę, oto logi:

OTL: http://wklej.to/9lxC6

Extras: http://wklej.to/FtZWG

Raport: http://wklej.to/rCSde

 

Z góry dziękuje za udzieloną pomoc.

[DillGang 1]

Lekka poprawka, otwórz OTL i wklej:

:OTL 
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST31000528AS_5VP4YEVQXXXX5VP4YEVQ&ts=1378137700
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST31000528AS_5VP4YEVQXXXX5VP4YEVQ&ts=1378137700
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:96D0C06F

Wciśnij Wykonaj skrypt. Nie podawaj z tego raportu .

 

W OTL użyj opcji Sprzątanie .

[Mathi93 0]

OTL powinien po użyciu opcji Sprzątanie usunąć się? Kiedy wykonałem ostatni skrypt, po resecie OTL się usuwa z systemu.

[DillGang 1]

Jeśli się usunął, to jest OK .

[Aneczkaaa 0]

Hej Hej mam ten sam problem i powiem szczerze że jestem mało kumata w tych tematach.

Jedyne do czego udało mi się dojść to uruchomienie trybu awaryjnego z wierszami poleceń i uruchomienie OTL

 

Chyba chodzi wam o te raporty

 

Ale tu zaczynają się już maksymalne schody ponieważ nie mam pojęcia co terez mam usunąć i jak.

Jak mogę to proszę o pomoc łopatologiczną i wytłumaczenia jak dziecku krok po kroku co mam robić

 

Extras.Txt

OTL.Txt

[filutka78 11]

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKCU Winlogon: Shell - (C:\Users\Ania\AppData\Roaming\data.dat) - C:\Users\Ania\AppData\Roaming\data.dat ()

O20 - AppInit_DLLs: (c:\progra~2\bitguard\261673~1.238\{c16c1~1\bitguard.dll) - File not found

 

:Files

C:\Users\Ania\AppData\Roaming\settings.ini

C:\Users\Ania\AppData\Roaming\data.dat

C:\Users\Ania\AppData\Roaming\data.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

[Aneczkaaa 0]

Zapisz raport, który pokaże się po restarcie.

 

a jak mam to zrobic?

 

 

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

 

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

 

 

 

 

 

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

[filutka78 11]

Zapisz raport, który pokaże się po restarcie.

 

a jak mam to zrobic?

nie musisz tego robić.

ale zrób nowy log z OTL.

 

F.

[Aneczkaaa 0]

nie musisz tego robić.

ale zrób nowy log z OTL.

 

F.

 

 

 

 

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

[filutka78 11]

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

[Aneczkaaa 0]

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

 

 

ok wyłączyłam komputer i uruchomiłam w trybie normalnym

 

normalny pulpit i wszystko jak gdyby nic

Przesyłam log

 

czy juz wszystko ok?

 

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

 

 

ooo i jeszcze takie coś mi wyskoczyło

OTL.Txt

Nowy dokument tekstowy.txt

[Aneczkaaa 0]

chyba wszystko jest ok dziękuję bardzo za pomoc

[filutka78 11]

----------->>@Aneczkaaa

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found

O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found

O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\AutoRun\command - "" = D:\otyh.cmd

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\explore\Command - "" = D:\otyh.cmd

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\open\Command - "" = D:\otyh.cmd

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.

Potem kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.