Wirus - zablokowany pulpit

[Areczkii]

Witam,

Kumpel złapał jakiegoś wirusa, który blokuje mu cały pulpit i wyświetla komunikat o zablokowaniu komputera z powodu nielegalnego oprogramowania itd. i że musi zapłacić 300zł aby odblokować. Uruchomiłem Malwarebytes Anti-Malware w trybie awaryjnym i się go pozbyłem. Następnie już w trybie normalnym chciałem przeskanować laptopa programem Dr.Web, ale szło to baardzo opornie i musiałem anulować, ale zdążył wyłapać trochę wirusów i je usunąć/przenieść do kwarantanny. Spróbowałem podłączyć się pod internet i tak jak się podłączyłem tak od razu wyskoczył ten sam komunikat co wcześniej i znowu pulpit został zablokowany. Teraz wykonałem w trybie awaryjnym logi i proszę was o ich sprawdzenie i pomoc w usunięciu wirusów.

OTL - http://wklej.org/id/839140/
Extras - http://wklej.org/id/839141/
TDSSKiller - http://wklej.org/id/839142/

Z góry dzięki.

EDIT:
Włączyłem znowu skanowanie MBAM w trybie awaryjnym i oto efekt: http://wklej.org/id/839258/
Pulpit odblokowany, natomiast nie mogę podłączyć się do internetu, ponieważ znowu wyskoczy ten wirus.

[kominekl]

"InstallShield_{066CFFF8-12BF-4390-A673-75F95EFF188E}" = TOSHIBA Value Added Package
"InstallShield_{773970F1-5EBA-4474-ADEE-1EA3B0A59492}" = TOSHIBA Recovery Media Creator Reminder
"InstallShield_{A0E99122-25C1-4CA4-9063-499A2A814EB6}" = TOSHIBA ReelTime
"InstallShield_{C14518AF-1A0F-4D39-8011-69BAA01CD380}" = TOSHIBA Bulletin Board
"InstallShield_{D4322448-B6AF-4316-B859-D8A0E84DCB38}" = Program TOSHIBA HDD/SSD Alert
"vShare" = vShare Plugin

Odinstaluj to oprogramowanie, oraz użyj tego http://www.instalki.pl/programy/downloa ... ility.html

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {5EA0ABF4-64DE-40A4-955A-3A1D1F477A86}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{5EA0ABF4-64DE-40A4-955A-3A1D1F477A86}: "URL" = http://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{2FF5E126-E8EF-4CC0-A059-E738681CCB4F}: "URL" = http://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110809&tt=280812_2004_3512_8&babsrc=SP_ss&mntrId=f4c19f5d00000000000000266c4ed6ce
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{2A5F3694-4976-4735-81E6-FB9FBC2458CA}: "URL" = http://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{5F7B3860-C4F2-45F3-A621-265431BD0485}: "URL" = http://rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms}
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files (x86)\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files (x86)\Veetle\Player\npvlc.dll (Veetle Inc)
[2011-02-06 21:19:04 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Users\Wojtek\AppData\Roaming\mozilla\Firefox\Profiles\2ws5n46s.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011-02-06 21:31:56 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Wojtek\AppData\Roaming\mozilla\Firefox\Profiles\2ws5n46s.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012-08-29 00:01:39 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Wojtek\AppData\Roaming\mozilla\Firefox\Profiles\2ws5n46s.default\extensions\[email protected]
[2010-11-13 16:11:45 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Wojtek\AppData\Roaming\mozilla\Firefox\Profiles\2ws5n46s.default\extensions\vshare@toolbar
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2400589191-1095031448-3343988842-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found
O4:[b]64bit:[/b] - HKLM..\Run: [sppuinotify] C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376\sppuinotify.exe ()
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000 File not found
O8:[b]64bit:[/b] - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\OFFICE11\EXCEL.EXE/3000 File not found
O8:[b]64bit:[/b] - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Wojtek\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Wojtek\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18:[b]64bit:[/b] - Protocol\Handler\vsharechrome - No CLSID value found
O18 - Protocol\Handler\vsharechrome - No CLSID value found

:Files
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
C:\Users\Wojtek\DoctorWeb
C:\Users\Wojtek\AppData\Roaming\hellomoto
C:\found.*
C:\Program Files (x86)\GridinSoft Trojan Killer
C:\Windows\SysNative\drivers\aswSP.sys
C:\ProgramData\AVAST Software
C:\Program Files\AVAST Software
C:\ProgramData\0C1CFB1303318CE499A49877E56C34C7
C:\ProgramData\0C1CFB1303318CE499A49877F875F002
C:\Users\Wojtek\AppData\Roaming\Yzynx
C:\Users\Wojtek\AppData\Roaming\Ikvuo
C:\Users\Wojtek\AppData\Roaming\Igif
C:\Users\Wojtek\Desktop\AVG-AntiVirus-Free-Edition(13206).exe
C:\Users\Wojtek\AppData\Roaming\AVG2012
C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 + nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

[Areczkii]

ADW search - http://wklej.org/id/839375/
ADW delete - http://wklej.org/id/839376/

OTL skrypt - http://wklej.org/id/839377/

OTL - http://wklej.org/id/839378/
Extras - http://wklej.org/id/839379/

AutoRuns - http://www32.zippyshare.com/v/49477597/file.html

[mateo8898]

W AdwCleaner kliknij Uninstall

W Autoruns odznacz i usuń:
zakładka Logon:

rdpclip
cAudioFilterAgent
HotKeysCmds
IgfxTray
Persistence
Toshiba Registration
Toshiba TEMPRO
Adobe ARM
Adobe Reader Speed Launcher
NBAgent
PWRISOVM.EXE
SunJavaUpdateSched
Microsoft Office.lnk
Microsoft Windows
Microsoft Windows
Gadu-Gadu

zakładka Scheduled Tasks:

wszystko

zakładka Services (tylko odznacz):

Nero BackItUp Scheduler 4.0
WMPNetworkSvc

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.3 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[Areczkii]

Dziękuje

Do zamknięcia.