ArturMalyPL Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Cześć, Mam ten sam problem co wszyscy, czyli blokada komputera przez kogoś podszywającego sięprzez policję. System to Windows XP 32 bit SP3 GMER nic nie znalazł. Z góry wielkie dzięki za pomoc. OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Sklejam posty. Ten log pochodzi ze złego konta, czyli z wbudowanego w system serwisowego Administratora: Computer Name: K1 | User Name: Administrator | Logged in as Administrator. Konto było co dopiero inicjowane (nie istniał jego folder na dysku). Logi muszą pochodzić z konta, na którym jest widoczny problem, ponieważ rejestry są różne. I tak oto tu w logu wprawdzie widać obiekty infekcji na dysku, ale nie widać wcale wpisu startowego odpowiadającego za nakładanie planszy. Wpis zapewne jest w kluczu HKEY_CURRENT_USER i będzie widoczny tylko z poziomu właściwego konta. Toteż proszę o powtórzenie operacji generowania logów. . Odnośnik do komentarza
ArturMalyPL Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Dziki za informacje myślałem że obojętnie z którego konta zrobię, a teraz w załączniku przesyłam logi z OTL'a z odpowiedniego konta, GMER jest w trakcie skanowania... EDIT: Dodałem raport z GMER'a Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Oczywiście na tym koncie widać wpis, a także i historyczne ślady podpinania zainfekowanych nośników USB. Przechodzimy do usuwania. 1. Wyłącz rezydenta Tea-Timer Spybota (swoją drogą: program archaiczny i w dalszej fazie będziemy go usuwać i likwidować po nim skutki). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1606980848-838170752-839522115-1003..\Run: [ocabeiuixbgrnia] C:\Documents and Settings\All Users\Dane aplikacji\ocabeiui.exe () [2012-07-08 19:10:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\zjwnkmdnswdytnw [2012-07-08 19:10:20 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\fzaulmweakphjxk [2012-07-08 19:10:15 | 000,088,064 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\zqsqkqrx.exe [2012-07-08 19:10:15 | 000,088,064 | ---- | M] () -- C:\Documents and Settings\Właściciel\ms.exe O4 - HKU\S-1-5-21-1606980848-838170752-839522115-1003..\Run: [PowerBar] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\sunkfiltp.sys -- (Sunkfiltp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\sunkfilt62.sys -- (SunkFilt62) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\sunkfilt6.sys -- (SunkFilt6) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 3. Odinstaluj Spybot - Search & Destroy. Następnie zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2. . Odnośnik do komentarza
ArturMalyPL Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Bardzo dziękuję za pomoc, pomogło W załączniku przesyłam raporty. OTL.Txt 07122012_100200.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Zadania pomyślnie wykonane. Przejdź do tej porcji zadaniowej: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę z trojanem. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 4. Podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{14F5121B-E4D9-4236-BB73-364CC5C0CFC8}" = OpenOffice.org 2.1"{78D082B3-ACEE-11D7-9D64-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.1_05"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1606980848-838170752-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 5. Zniknął antywirus. Uprzednio widzialna była Avira. Dobierz coś. Darmowe propozycje: Antywirus: Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Pakiet: COMODO Internet Security . Odnośnik do komentarza
Rekomendowane odpowiedzi