swiro
(Piotr Godycki)
10 Grudzień 2012 17:32
#1
Witam.
Mnie również dopadł wirus policyjny. Wszystko się zblokowało i cały ekran został przesłonięty przez informację o konieczności zapłaty grzywny.
Po ponownym uruchomieniu komputera wirus od razu się uruchomił, jednak po drugim restarcie pojawił się tylko błąd RUNDLL:
"Wystąpił błąd podczas ładowania C:\DOCUME~1\Piotrek\USTAWI~1\Temp\wpbt0.dll
Nie można odnaleźć określonego modułu."
Uruchomiłem Ccleaner i przeskanowałem system oraz rejestr wyrzucając wszystko co program zasugerował. Przeskanowałem cały dysk antywirusem NOD32 ale nic konkretnego nie znalazł. Wyczytałem gdzieś że wirus nadpisuje w rejestrze pliki związane z InternetExplorerem, więc go odinstalowałem.
Problem nie zniknął - proszę o pomoc w usunięciu dziada.
Załączam logi:
OLT http://wklej.to/8HvIK
Extras http://wklej.to/JwUbn
Atis
(Atis)
10 Grudzień 2012 18:03
#2
Odinstaluj wszystkie programy o nazwie Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\BatteryCare\WinRing0.sys – (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\NSNDIS5.SYS – (NSNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbdev.sys – (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\arusb.sys – (arusb(TP-LINK) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Piotrek\USTAWI~1\Temp__Samsung_Update\ADDMEM.SYS – (ADDMEM) O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [NPSStartup] File not found O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Piotrek\ctfmon.exe) - C:\Documents and Settings\Piotrek\ctfmon.exe () [2012-12-10 09:56:30 | 000,000,800 | ---- | M] () – C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\runctf.lnk [2012-12-10 10:04:42 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad [2010-06-11 12:57:11 | 000,000,000 | ---- | C] () – C:\Documents and Settings\Piotrek\ctfmon.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
swiro
(Piotr Godycki)
10 Grudzień 2012 19:55
#3
Odinstalowałem 2 toolbary, zrobiłem restart, odpaliłem skrypt, zrobiłem restart, błąd braku biblioteki już się nie wyświetlił, zrobiłem nowy skan.
Oto wyniki:
Raport: http://wklej.to/njR22
OTL: http://wklej.to/SwUPS
Dzięki za pomoc i proszę o dalsze wskazówki.
Atis
(Atis)
10 Grudzień 2012 20:22
#4
Odinstaluj:
Java DB 10.5.3.0
Java 6 Update 37
J2SE Runtime Environment 5.0
Java 6 Update 7
Java SE Development Kit 6 Update 20
Adobe Reader 8
Zainstaluj:
Internet Explorer 8
Java
Adobe Reader
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/08/27/2012-08-27_234556.png
swiro
(Piotr Godycki)
10 Grudzień 2012 23:58
#5
Zrobiłem wszystko zgodnie z poleceniami i nie było żadnych problemów.
SecurityCheck nie wykazał żeby którykolwiek program był Out of date .
Malwarebytes Anti-Malware nie znalazł nic.
Czy wrzucić jeszcze jakieś logi celem weryfikacji poprawności przeprowadzonych operacji?
Atis
(Atis)
11 Grudzień 2012 00:09
#6
Nie potrzeba nowych logów.
swiro
(Piotr Godycki)
11 Grudzień 2012 08:20
#7
Ogromnie dziękuję za pomoc i pozdrawiam.