Wirus Polska Policja Cyberprzestepczosc departament logi OTL

Post12 gru 2012, 13:24

Witam, poniewaz jest to moj pierwszy post na forum to nie chcialbym dublowac tematu wiec pozwole sobie dolaczyc do istniejacego watku. W sobote i mojego znajomego dopadla "policja", wkleje pliki z OTL jego komputera. Z gory dzieki za pomoc. Pozdrawiam

OTL Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS Dostępne tylko dla zarejestrowanych użytkowników

Post12 gru 2012, 18:30

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Users\DAMIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\DAMIAN\wgsdgsdgdsgsd.exe
C:\Users\DAMIAN\AppData\Local\Temp*.html

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_14)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_14)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_14)
O4 - HKU\S-1-5-21-1156937461-402484927-4207537299-1000..\Run: [MyWebSearch Email Plugin] C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [] File not found
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O2 - BHO: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O2 - BHO: (AOL Toolbar BHO) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\DAMIAN\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\Toolbar\WebBrowser: (uTorrentControl_v2 Toolbar) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O3 - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
[2012-11-24 14:51:41 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\DAMIAN\AppData\Roaming\mozilla\Firefox\Profiles\wx5g9uvy.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012-11-24 14:51:28 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\DAMIAN\AppData\Roaming\mozilla\Firefox\Profiles\wx5g9uvy.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2011-11-21 20:07:02 | 000,000,000 | ---D | M] (My Web Search) -- C:\Users\DAMIAN\AppData\Roaming\mozilla\Firefox\Profiles\wx5g9uvy.default\extensions\m3ffxtbr@mywebsearch.com
[2012-01-10 21:18:08 | 000,000,000 | ---- | M] () -- C:\Users\DAMIAN\AppData\Roaming\mozilla\firefox\profiles\wx5g9uvy.default\searchplugins\mywebsearch.xml
[2012-11-24 14:51:57 | 000,004,003 | ---- | M] () -- C:\Users\DAMIAN\AppData\Roaming\mozilla\firefox\profiles\wx5g9uvy.default\searchplugins\sweetim.xml
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\1.bin [2011-11-21 20:07:02 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMyWebS.dll (MyWebSearch.com)
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=N7i0TEdMKssvnl.KR5R9tQ&ind=2011112114&n=77df22b2&psa=&st=kwd&searchfor="
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?st=6&barid={AB4455E5-ADD5-42C5-95D9-9FD64A7EFA2C}"
FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2
FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.7.0.3
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=N7i0TEdMKssvnl.KR5R9tQ&ind=2011112114&n=77df22b2&psa=&st=kwd&searchfor="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "My Web Search"
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {E2958F71-2B50-4864-811E-2F39556414E9}
IE:64bit: - HKLM\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{AB4455E5-ADD5-42C5-95D9-9FD64A7EFA2C}
IE - HKLM\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKLM\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={AB4455E5-ADD5-42C5-95D9-9FD64A7EFA2C}
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{AB4455E5-ADD5-42C5-95D9-9FD64A7EFA2C}
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
IE - HKU\S-1-5-21-1156937461-402484927-4207537299-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={AB4455E5-ADD5-42C5-95D9-9FD64A7EFA2C}

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[S1].txt

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>Dostępne tylko dla zarejestrowanych użytkowników
Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >Dostępne tylko dla zarejestrowanych użytkowników

F.

Post12 gru 2012, 19:39

OTL Dostępne tylko dla zarejestrowanych użytkowników
Adwcleaner Dostępne tylko dla zarejestrowanych użytkowników

Teraz po usunieciu skryptem w otl pojawia sie komunikat ze nie mozna uruchomic programu wsgd(itp itd, ciag przypadkowych liter).exe

Post12 gru 2012, 20:06

Nie dałeś nowego logu z OTL.

pojawia sie komunikat ze nie mozna uruchomic programu wsgd(itp itd, ciag przypadkowych liter).exe

Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:

:filefind
wgsdgsdgdsgsd.exe

:regfind
wgsdgsdgdsgsd.exe

Naciśnij Look i pokaż raport.

F.

Post12 gru 2012, 20:52

Z programu SystemLook Dostępne tylko dla zarejestrowanych użytkowników
Otl Dostępne tylko dla zarejestrowanych użytkowników

Post12 gru 2012, 21:35

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2012-11-24 14:50:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SweetPacks
[2012-11-24 14:50:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SweetPacks
:Files
C:\Users\DAMIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\DAMIAN\AppData\Local\Temp*.html
:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.