EJB
8 Grudzień 2012 15:55
#1
Witam
I ja jestem ofiarą wirusa policyjnego. Bardzo proszę o pomoc.
Podaję link do logu z OTL:
http://www.wklej.org/id/891279/
– Dodane 08.12.2012 (So) 17:17 –
Zauważyłam że w profilu gość jest plik: wgsdgsdgdsgsd.exe
Proszę, o pomoc - skrypt, który usunie wirusa
– Dodane 08.12.2012 (So) 17:38 –
Zamieszczam ponownie linki do logów OTL:
Link do OTL : http://wklej.org/id/891326/
Link do EXSTRAS : http://wklej.org/id/891329/
Czyściłam komp programem adwcleaner, odinstalowałam BitComet ale mam problem z napisaniem skrypt, który usunąłby wirusa. Prosze o pomoc!
Acorus
8 Grudzień 2012 16:41
#2
Odinstaluj Akamai NetSession Interface.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM…\SearchScopes{03EA461C-E93B-882F-1CEA-48F6FFE1B7AE}: “URL” = http://dts.search-results.com/sr?src=ie … =2&sr=0&q={searchTerms} IE - HKU\S-1-5-21-3352273686-1650936734-523451744-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.bearshare.net IE - HKU\S-1-5-21-3352273686-1650936734-523451744-1000…\SearchScopes{03EA461C-E93B-882F-1CEA-48F6FFE1B7AE}: “URL” = http://dts.search-results.com/sr?src=ie … =2&sr=0&q={searchTerms} IE - HKU\S-1-5-21-3352273686-1650936734-523451744-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.v9.com/web/?q={searchTerms} [2012-09-19 09:58:30 | 000,000,000 | —D | M] (Funmoods.com ) – C:\Users\Pawel\AppData\Roaming\mozilla\Firefox\Profiles\extensions\extensions\ffxtlbr@funmoods.com O3:64bit: - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU\S-1-5-21-3352273686-1650936734-523451744-1000…\Run: [Akamai NetSession Interface] C:\Users\Pawel\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-3352273686-1650936734-523451744-1000…\Run: [Facebook Update] C:\Users\Pawel\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKU\S-1-5-21-3352273686-1650936734-523451744-1000…\Run: [QNPlus] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BearShare Applications\MediaBar\Datamngr\x64\datamngr.dll) - File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BearShare Applications\MediaBar\Datamngr\x64\IEBHO.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~2\BearShare C:\PROGRA~2\BearShare) - File not found [2012-12-08 16:02:48 | 095,023,320 | ---- | M] () – C:\ProgramData\dsgsdgdsgdsgw.pad [2012-12-06 23:09:00 | 000,000,928 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3352273686-1650936734-523451744-1000UA.job [2012-12-06 23:09:00 | 000,000,906 | ---- | M] () – C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3352273686-1650936734-523451744-1000Core.job [2010-11-10 21:37:02 | 000,000,162 | ---- | C] () – C:\Users\Pawel\AppData\Roaming\wklnhst.dat [2010-07-08 14:23:47 | 000,002,432 | ---- | C] () – C:\Users\Pawel\AppData\Local\TempeQ3156.html [2010-07-08 07:38:26 | 000,002,432 | ---- | C] () – C:\Users\Pawel\AppData\Local\TempvQ3152.html [2010-07-08 07:38:26 | 000,002,089 | ---- | C] () – C:\Users\Pawel\AppData\Local\TempvG3152.html [2010-07-07 19:01:26 | 000,002,432 | ---- | C] () – C:\Users\Pawel\AppData\Local\Tempfs4788.html [2010-07-07 19:01:26 | 000,002,089 | ---- | C] () – C:\Users\Pawel\AppData\Local\Temphh4788.html [2011-11-06 15:14:17 | 000,000,000 | —D | M] – C:\Users\Pawel\AppData\Roaming\EurekaLog :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Ten plik usuń przez Shift+Delete
EJB
8 Grudzień 2012 17:09
#3
Link do raportu po restarcie: http://wklej.org/id/891361/
Link do pliku OTL po wykonaniu powyższego skryptu: http://wklej.org/id/891363/
Czy już powinno być dobrze?
Acorus
8 Grudzień 2012 17:16
#4
W OTL użyj opcji Sprzątanie.
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
EJB
8 Grudzień 2012 17:19
#5
Internet jest już odblokowany, ale wcześniej skasowałam plik wgsdgsdgdsgsd.exe i teraz po uruchomieniu pojawia się komunikat RunDLL: Wystąpił problem podczas uruchamiania pliku wgsdgsdgdsgsd.exe , Nie można odnaleźż określonego modułu. W rejestrze już szukałam i nie znalazłam takiego wpisu. Można prosić o podpowiedź?
Acorus
8 Grudzień 2012 17:22
#6
Pokaż log OTL.txt z tego konta.
EJB
8 Grudzień 2012 17:43
#7
Acorus
8 Grudzień 2012 17:56
#8
Miałaś pokazać log z konta gość.
EJB
8 Grudzień 2012 18:25
#9
Ponownie zamieszczam link z logiem z OTL.txt http://wklej.org/id/891458/
Wykonałam go na koncie gość.
Acorus
8 Grudzień 2012 18:51
#10
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
EJB
8 Grudzień 2012 18:55
#11
Informuję, że już sobie poradziłam z tym komunikatem. Okazało się że w katalogu startup użytkownika gość pozostał link odwołujący się do pliku wgsdgsdgdsgsd.exe. Usunęłam ten link, poaktualizowałam programy wskazane przez Security Check i wydaję się że jest OK.
Bardzo, ale to bardzo dziękuję za okazaną pomoc i życzę wszystkiego najlepszego w świecie wirtualnym i realnym w tym i w Nowym 2013 roku.
Pozdrawiam
Ewa
