Wirus "Komenda Główna Policji"

[Skocz09]

Witam,

mam problem, mojej dziewczynie na laptopa wladowal sie wirys, jak w temacie.

Win 7 ma na lapku.

 

kiedys i ja mialem tego wirusa i sie go pozbylem ale z pomoca kogos z forum. teraz takze szukam pomocy.

pozdrawiam.

 

mam raporty OTL oraz EXTRAS

[Zayfi]

Uruchom OTL i w oknie własne opcje skanowania/skrypt wklej

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&affID=119370&babsrc=SP_ss_d2g&mntrId=543002b3000000000000001e101f1f81
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200 File not found
O20 - HKCU Winlogon: Shell - (C:\Users\Kola\AppData\Roaming\skype.dat) - C:\Users\Kola\AppData\Roaming\skype.dat ()
O33 - MountPoints2\{0920181e-e3a6-11e1-a7c4-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{0920181e-e3a6-11e1-a7c4-e81132e1053b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{0920182b-e3a6-11e1-a7c4-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{0920182b-e3a6-11e1-a7c4-e81132e1053b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{09201834-e3a6-11e1-a7c4-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{09201834-e3a6-11e1-a7c4-e81132e1053b}\Shell\AutoRun\command - "" = F:\application\Setup.exe
O33 - MountPoints2\{11a0f2fc-0560-11e2-bf1c-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{11a0f2fc-0560-11e2-bf1c-e81132e1053b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{11a0f313-0560-11e2-bf1c-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{11a0f313-0560-11e2-bf1c-e81132e1053b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{11a0f33e-0560-11e2-bf1c-e81132e1053b}\Shell - "" = AutoRun
O33 - MountPoints2\{11a0f33e-0560-11e2-bf1c-e81132e1053b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{78250e45-5efc-11e2-b960-001e101fe5e1}\Shell - "" = AutoRun
O33 - MountPoints2\{78250e45-5efc-11e2-b960-001e101fe5e1}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{c48c7da1-07fa-11e2-8c31-001e101fb4df}\Shell - "" = AutoRun
O33 - MountPoints2\{c48c7da1-07fa-11e2-8c31-001e101fb4df}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun

:Files
C:\Users\Kola\AppData\Roaming\skype.ini

:Commands
[emptytemp]

Kliknij w Wykonaj skrypt.

 

 

2. Po restarcie system uruchomi się normalnie. Zrób nowy skan OTL i przedstaw raport.

[Skocz09]

Raport po restarcie OTL:

[Zayfi]

Uruchom OTL i w oknie Własne opcje skanowania/skrypt wklej

:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [Nokia Internet Modem] "C:\Program Files (x86)\Nokia\Nokia Internet Modem\WellPhone2.exe" /background File not found
O4 - HKCU..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found

Kliknij w Wykonaj skrypt.

 

Nastepnie kliknij opcję Sprzatanie w OTL

 

to wszystko

[Skocz09]

dzieki wielkie.

 

A sprawdzisz tez moje logi z mojego kompa? czy nic u mnie nie siedzi?

dzieki wielkie.

 

A sprawdzisz tez moje logi z mojego kompa? czy nic u mnie nie siedzi?

[Zayfi]

Dołacz jeszce log Extras. Opcja rejestr skan dodatkowy ma być zaznaczona.

[Skocz09]

Dołacz jeszce log Extras. Opcja rejestr skan dodatkowy ma być zaznaczona.

 

 

EXTRAS

[Zayfi]

Odinstaluj z panelu Programów

BrowserProtect
Browser Defender 4.0
delta" = Delta toolbar  
"Delta Chrome Toolbar" = Delta Chrome Toolbar

2. Uruchom OTL i w oknie własne opcje skanowania/skrypt wklej

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=119816&tt=190313_wctrl&babsrc=HP_ss_din2g&mntrId=DE5F00241D8C2B29
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119816&tt=190313_wctrl&babsrc=HP_ss_din2g&mntrId=DE5F00241D8C2B29
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=190313_wctrl&babsrc=SP_ss&mntrId=DE5F00241D8C2B29
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files (x86)\PC Tools\PC Tools Security\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
O4 - Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bddr32.exe ()
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found

:Files
C:\Users\Bartek\AppData\Roaming\mozilla\Firefox\Profiles\9p2t6yfl.default\extensions\ffxtlbr@delta.com
C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\9p2t6yfl.default\searchplugins\babylon.xml
C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\9p2t6yfl.default\searchplugins\BrowserProtect.xml
C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\9p2t6yfl.default\searchplugins\delta.xml
C:\sh4ldr

:Commands
[emptytemp]

Kliknij w Wykonaj skrypt.

 

 

3. Pobierz AdwCleaner i wykonaj nim skan > przedstaw raport

http://general-changelog-team.fr/outils/289-adwcleaner

 

 

4. Zrób nowy skan OTL > przedstaw raport . Extras juz nie potrzebny.

[Skocz09]

gdy wciskam wykonaj skrpt pojawia sie blad i komputer sie restartuje.

o co chodzi?

[Zayfi]

Wytnij ostatnie dwie linie skryptu

:Commands
[emptytemp]

a zamiast wstaw

:Commands
[reboot]

[Skocz09]

skrypt sie nie chce wykonac. OTL sie zawiesza i jest (brak opowiedzi)

[Zayfi]

Przejdź do dalszych kroków. Na końcu zrób nowy skan OTL

[Skocz09]

Przejdź do dalszych kroków. Na końcu zrób nowy skan OTL

[Zayfi]

Zamknij koniecznie przeglądarki. Uruchom ADWCleaner i zastosuj opcję usuń.

 

 

Zrób nowy skan OTL i daj raport

[Skocz09]

raport ADWclener

 

raport OTL

[Zayfi]

Wejdź w tryb awaryjny, zaloguj się na swoje konto i uruchom OTL

 

wklej w okno skrypt

:OTL
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found

:Files
C:\Users\Bartek\AppData\Local\*.html
C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\9p2t6yfl.default\searchplugins\BrowserProtect.xml
C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\9p2t6yfl.default\searchplugins\delta.xml

:Commands
[emptytemp]

Kliknij w Wykonaj skrypt.

[Skocz09]

ok, i to wszystko? czy jeszcze raz robic raport OTL?

ok, i to wszystko? czy jeszcze raz robic raport OTL?

[Zayfi]

Jest tu jedna rzecz która mnie zastanawia. Mianowicie ten wpis w autostarcie

C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bddr32.exe

Znajdź ten plik > PPM na plik właściwośći > szcegóły > od czego to jest > bo nie mogę nic namierzyć w necie.

 

skasuj przez shift +del > C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml

[Skocz09]

masz screen tego czegoś.

[Zayfi]

Nic mi to nie mówi. A widzę że sie to odnawia, bo zadałem w skrypcie do usuwania.

Zrób experyment > skasuj ten plik przez shift+del i sprawdź po restarcie czy wrócił.

[Skocz09]

nie chce sie usunać tak. wyskakuje komunikat ze ten program jest otwarty lub uzywany. najpierw go zamknij.

[Zayfi]

To inaczej. Odpal Menedżera zadań i wnim sprawdź jaka aplikacja z tego korzysta.

[Skocz09]

w menagerze byl taki proces bddr32.exe. zatrzymalem go i wtedy dal sie usunać.

robie restart.

[Zayfi]

w menagerze byl taki proces bddr32.exe. zatrzymalem go i wtedy dal sie usunać.

nie miałeś uswać tylko sprawdzić od czego pochodzi, jest przecie jasne że coś to powoduje. Plik był instaklowany w marcu br.

[Skocz09]

powiedziales zeby zrobic eksperyment. to usunalem.

ale po tym nie chcial mi sie zrestarowac, wyskakiwal niebieski ekran, wszedlem w trybie awaryjnym i go przywrocilem.