activ Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Witam. Niestety zostałem ofiarą tego wirusa, prosiłbym Was o pomoc z walką z nim. Z góry dziękuje /// Z powodu problemów z dodaniem załączników logi zamieszczam na wklej.org http://wklej.org/id/791329/ OTL http://wklej.org/id/791330/ Extras Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [TSWorkspace] C:\Users\Ent\AppData\Local\Microsoft\Windows\1550\TSWorkspace.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Ent\AppData\Local\Microsoft\Windows\1550 C:\Users\Ent\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1. I sprawdź co widać w tym katalogu: [2012-06-25 11:14:03 | 000,000,000 | ---D | C] -- C:\Users\Ent\AppData\Local\201280 . Odnośnik do komentarza
activ Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Dziękuje bardzo wszystko działa jak przedtem. Załączam logi o które prosiłeś http://wklej.org/id/791340/ Log po skasowaniu http://wklej.org/id/791338/ OTL http://wklej.org/id/791339/ FSS sprawdź co widać w tym katalogu: [2012-06-25 11:14:03 | 000,000,000 | ---D | C] -- C:\Users\Ent\AppData\Local\201280 tutaj znajduje się tylko takie coś: C:\Users\Ent\AppData\Local\201280\eidos\28cccbb\cache\persistent\ z plikiem o nazwie 364355366F8274DC7789952660C34776F4B1D586 C:\Users\Ent\AppData\Local\201280\eidos\28cccbb\cache\temp Jeszcze raz dziękuje za pomoc i mam nadzieje że już nie złapie tego wirusa Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Gwoli formalności (prosiłeś) = jestem kobietą. Dla ścisłości: to nie jest wirus (brak replikowania w plikach), to trojan gatunku "ransomware". Zadania wykonane. Przejdź do: 1. Log z Farbar Service Scanner wykazuje, że podstawowe usługi Windows z układu zabezpieczeń są wyłączone. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam = przy innych rezydentach (tu: Ashampoo) jest zbędny i dla wydajności powinien być wyłączony. 2. W Dzienniku zdarzeń nagrany błąd WMI numer 10. Posłuż się naprawiaczem z KB2545227. 3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Ręcznie dokasuj AdwCleaner i Farbar. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na wszelki wypadek skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 6. Podstawowe aktualizacje do wykonania: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wersja dla FF, opcjonalnie używana w Chrome) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 19.0.1084.24 . Odnośnik do komentarza
Rekomendowane odpowiedzi