Murzin
(Magus90)
6 Wrzesień 2013 14:06
#1
Witam, zaatakował mnie wirus policyjny, na komputer mogę wejść tylko wtedy, jeśli szybko wyłączę proces cache.dat. Proszę was serdecznie o pomoc w pozbyciu się tego. (Przy okazji jakby ktoś mógł zerknąć, czy komp nie jest zasyfiony to byłbym bardzo wdzięczny )
OTL:
http://wklej.to/KecOB
Extras:
http://wklej.to/XDNFF
Z góry dziękuję.
Atis
(Atis)
6 Wrzesień 2013 14:28
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=1198 … A4DE8BA1CE IE - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=f3 … e6afae4&q={searchTerms} IE - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=2EFC90A4DE8BA1CE IE - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\SearchScopes{83E07720-8031-4CAB-B6C9-6F99D787B20E}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=5CF1FE09-A74E-4BB9-AEE6-64D56C8694EC&apn_sauid=C8A88614-BBF7-41A1-A536-91A8FA3F00A2 IE - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms} [2012/07/17 09:43:06 | 000,002,299 | ---- | M] () – C:\Users\Paulina\AppData\Roaming\Mozilla\Firefox\Profiles\h491v1un.default\searchplugins\askcom.xml [2013/04/08 13:51:57 | 000,001,294 | ---- | M] () – C:\Users\Paulina\AppData\Roaming\Mozilla\Firefox\Profiles\h491v1un.default\searchplugins\delta.xml [2012/01/28 21:48:48 | 000,000,792 | ---- | M] () – C:\Users\Paulina\AppData\Roaming\Mozilla\Firefox\Profiles\h491v1un.default\searchplugins\startsear.xml [2012/02/15 13:01:51 | 000,003,915 | ---- | M] () – C:\Users\Paulina\AppData\Roaming\Mozilla\Firefox\Profiles\h491v1un.default\searchplugins\SweetIM Search.xml [2013/04/08 13:51:30 | 000,006,468 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found. O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1745266210-4204149599-3607975665-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2013/04/08 13:51:07 | 000,000,000 | —D | M] – C:\Users\Paulina\AppData\Roaming\Babylon [2013/04/08 13:52:21 | 000,000,000 | —D | M] – C:\Users\Paulina\AppData\Roaming\DealPly [2013/08/10 12:22:03 | 000,000,000 | —D | M] – C:\Users\Paulina\AppData\Roaming\DSite [2011/11/10 17:36:36 | 000,000,000 | —D | M] – C:\Users\Paulina\AppData\Roaming\EurekaLog [2011/12/22 16:09:21 | 000,000,000 | —D | M] – C:\Users\Paulina\AppData\Roaming\OpenCandy :Files C:\windows\tasks\DSite.job C:\windows\tasks\DealPly*.job C:\Users\Paulina\AppData\Roaming\cache.ini C:\Users\Paulina\AppData\Roaming\cache.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.
Kliknij Skanuj i pokaż nowy log z OTL.
Murzin
(Magus90)
6 Wrzesień 2013 15:08
#3
Wielkie dzięki za odzew i pomoc
Raport po usuwaniu:
http://wklej.to/K3xZD
Raport po usuwaniu AdwCleaner
http://wklej.to/5tgSc
Raport OTL po usuwaniu AdwCleaner:
http://wklej.to/EaLbT
Extras:
http://wklej.to/TnrQ3
Atis
(Atis)
6 Wrzesień 2013 15:20
#4
Wklej i kliknij Wykonaj skrypt:
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png