Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Polizja. Biuro Służby Kryminalnej


  • Zamknięty Temat jest zamknięty
9 odpowiedzi w tym temacie

#1
Kristoffx

Kristoffx

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Witam,

po uruchomieniu komputera otwiera się okno na cały pulpit z charakterystycznym wirusem zatytułowany: "Polizja. Biuro Służby Kryminalnej."

Plansza ta przykrywa cały pulpit, zawsze jest na wierzchu, przez co wszelkie aplikacje i ikony są pod nią ukryte.

Żadnych innych działań naprawczych nie wykonano.

Proszę o pomoc w usunięciu. Udało się wykonać logi z trybu awaryjnego z wierszem poleceń.

 

Załączone pliki

  • Załączony plik  OTL.Txt   47.35 KB   82 Ilość pobrań
  • Załączony plik  Addition.txt   34.59 KB   35 Ilość pobrań
  • Załączony plik  Extras.Txt   31.88 KB   26 Ilość pobrań
  • Załączony plik  FRST.txt   17.16 KB   35 Ilość pobrań


#2
picasso

picasso

    Administrator

  • Administratorzy
  • 27735 postów
Logi są pobrane ze złego konta, dlatego nie widać w nich infekcji:

Ran by Administrator (administrator) on DYSPOZYTOR on 07-09-2013 08:08:56

Logi muszą być zrobione z poziomu konta, które jest zablokowane. Czyli z "ja". Start do Trybu awaryjnego z Wierszem polecenia, zaloguj się na "ja" i zrób nowe raporty OTL/FRST.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
Kristoffx

Kristoffx

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

OK, załączam logi poprawione z drugiego konta.

Załączone pliki

  • Załączony plik  Addition.txt   34.98 KB   39 Ilość pobrań
  • Załączony plik  Extras.Txt   31.85 KB   23 Ilość pobrań
  • Załączony plik  FRST.txt   20.94 KB   36 Ilość pobrań
  • Załączony plik  OTL.Txt   54.6 KB   31 Ilość pobrań


#4
picasso

picasso

    Administrator

  • Administratorzy
  • 27735 postów
1. Otwórz Notatnik i wklej w nim:

Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\jwedwig.lnk
ShortcutTarget: jwedwig.lnk -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\giwdewj.plz ()
C:\DOCUME~1\ja\USTAWI~1\Temp\sqsjvkhjxtllcapivxd.bfg
C:\DOCUME~1\ja\USTAWI~1\Temp\ICReinstall_VuuPC_Setup.exe
C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.ctrl
C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.pff
C:\Documents and Settings\ja\Dane aplikacji\Bandoo
C:\Documents and Settings\ja\Dane aplikacji\OpenCandy
C:\Documents and Settings\ja\Dane aplikacji\searchquband
C:\Documents and Settings\ja\Dane aplikacji\Mozilla
C:\Program Files\uik.dat
C:\Program Files\is.dat
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
HKLM\...\Run: [Sweetpacks Communicator] - C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 massfilter; system32\drivers\massfilter.sys [x]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

System powinien zostać odblokowany, loguj się normalnie do systemu i:

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
Kristoffx

Kristoffx

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Z powodu iż pilnie potrzebowałem sprawnego komputera na wczoraj, poprosiłem o pomoc na innym forum i otrzymałem skrypt naprawczy z OTL w postaci:

 

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://javadl-esd.su... ... s-i586.cab (Reg Error: Value error.)
[2013-09-07 06:26:02 | 000,000,456 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{29156F9D-B87E-4EBF-AB78-407220307C27}.job
[2012-03-21 15:11:36 | 000,016,384 | ---- | C] () -- C:\Program Files\uik.dat
[2011-05-03 15:58:30 | 000,000,004 | ---- | C] () -- C:\Program Files\is.dat
[2012-06-17 04:13:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
[2013-04-01 14:40:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ja\Dane aplikacji\OpenCandy
[2012-06-17 01:34:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ja\Dane aplikacji\searchquband
[2013-09-06 18:37:10 | 000,000,798 | ---- | C] () -- C:\Documents and Settings\ja\Menu Start\Programy\Autostart\jwedwig.lnk
[2013-09-06 18:37:09 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.ctrl
[2013-09-06 18:36:44 | 095,025,368 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.pff
[2013-09-06 18:36:43 | 000,166,912 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\giwdewj.plz
:Commands
[emptytemp]

 

System został naprawiony i otrzymałem taki raport z usuwania:

http://wklej.org/id/1125840/

 

Czy w takim wypadku zastosować jeszcze otrzymany tu skrypt z FRST, czy nie ma już takiej potrzeby?

 

Dziś zrobię jeszcze skan AdwCleanerem.



#6
picasso

picasso

    Administrator

  • Administratorzy
  • 27735 postów
Nanosząc poprawki:

1. Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\ja\Dane aplikacji\Bandoo
C:\Documents and Settings\ja\Dane aplikacji\Mozilla
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#7
Kristoffx

Kristoffx

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów

Skany wykonane.

Załączam raporty, proszę o opinię czy jeszcze coś należałoby wykonać i jak zabezpieczyć ten komputer przed takimi niespodziankami.

 

Załączone pliki



#8
picasso

picasso

    Administrator

  • Administratorzy
  • 27735 postów
1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f


Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Odinstaluj stare wersje Adobe Reader i Java, zastąp najnowszymi: KLIK. Wg raportu posiadasz wersje:

==================== Installed Programs =======================

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)
J2SE Runtime Environment 5.0 Update 17 (Version: 1.5.0.170)
Java 7 Update 17 (Version: 7.0.170)


To m.in. luki w Java są przyczyną infekcji "policyjnych".



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#9
Kristoffx

Kristoffx

    Użytkownik

  • Użytkownicy
  • Pip
  • 5 postów
OK, jeszcze raz załączam raport z FRST oraz dodatkowo z OTL.
Dziękuję za pomoc.

Załączone pliki



#10
picasso

picasso

    Administrator

  • Administratorzy
  • 27735 postów
Skrypt wykonany. I jeśli nie proszę Cię o dodatkowe raporty, to znaczy że nie są potrzebne, ten skan OTL usuwam, te dane już tu są i nic nowego z tego nie wynika.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych