Michausz32 Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Witam, siedze sobie na necie na znanyc stronkach facebook,youtube itp. i nagle wywala to robactwo "Komputer Zablokowany" znacie już to zapewne na pamięć ... ;/ Próbowałem dziadostwo usunąć anti- malwarebytes ale nic to nie dało ;( nie wiem już co robić pomóżcie : OTL : http://wklej.org/id/794232/ Extras: http://wklej.org/id/794260/ Wyłączyłem tego wirusa z rozruchu systemu i (msconfig zakładka uruchamianie) i usunąłem jakieś jego pliki ale nie wszystkie, zrobiłem clean ccleanerem i zaraz zobacze czy system sie uruchamia i dam logi po tej operacji Edit!. System się uruchamia Eset32 i Anti-Malwarebytes nic nie wykrywają. Jak usunąć pozostałości po nim? i co zrobić żeby mnie już więcej nie złapało? OTL: http://wklej.org/id/794345/ Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zasady działu omawiają zachowania typu "odświeżanie": KLIK. Wszystko jedzie do kosza. To w niczym nie pomoże, nic nie przyśpieszy. Wręcz przeciwnie. Odpowiedź jest wtedy gdy: pomagający są obecni + mają czas. Poza tym, wielu użytkowników założyło temat wcześniej niż Ty i mają pierwszeństwo. Nie usunąłeś infekcji do końca, nadal na dysku widoczne pliki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2:64bit: - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. [2012-07-20 09:45:08 | 000,000,051 | ---- | M] () -- C:\ProgramData\tjhskkypvawzipv [2012-07-20 09:44:57 | 000,049,152 | ---- | M] () -- C:\ProgramData\rerpjssg.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Do oceny wystarczy ów log z wynikami usuwania z punktu 1. Ponadto, manipulowałeś w msconfig, toteż dodaj skan na msconfig. Uruchom SystemLook x64 , w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig /s Klik w Look i przedstaw raport. . Odnośnik do komentarza
Michausz32 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Dobrze zrozumiałem,dziękuje za pomoc. PS: Usunąłem te pliki ręcznie co kazała mi pani w OTL'U to źle? Nadal widze ten podejrzany plik w msconfig i nic nie dało jego usunięcie ;/ Oto Pliki: System Look : http://wklej.org/id/794564/ Skoro usunąłem je ręcznie to logu z OTL nie mam. Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 PS: Usunąłem te pliki ręcznie co kazała mi pani w OTL'U to źle? Następnym razem proszę nie kombinować ręcznie. Został podany do wykonania konkretny skrypt, a nie usuwanie ręczne. W skrypcie było więcej czynności niż tylko usuwanie tych plików. I należy powtórzyć skrypt, po zmodyfikowaniu go do zaistniałej sytuacji. Nadal widze ten podejrzany plik w msconfig i nic nie dało jego usunięcie ;/ vs. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\startupreg\rerpjssgdsuvcws]"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run""item"="rerpjssgdsuvcws""hkey"="HKCU""command"="C:\ProgramData\rerpjssg.exe""inimapping"="0""YEAR"= 0x00000007dc (2012)"MONTH"= 0x0000000007 (7)"DAY"= 0x0000000014 (20)"HOUR"= 0x000000000c (12)"MINUTE"= 0x0000000005 (5)"SECOND"= 0x000000001c (28) Oczywiście, bo msconfig to rejestr i samo usunięcie pliku to ledwie połowa zadania. 1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Msconfig\startupreg\rerpjssgdsuvcws 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2:64bit: - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Ten log do oceny podaj. . Odnośnik do komentarza
Michausz32 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Wykonane, wszystko działa dziękuje za pomoc. Dołączam proszony log. OTL : http://wklej.org/id/794687/ Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zadania wykonane. Przejdź do wykończeń: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj podstawy aktualizacyjne: KLIK. Z Twojej listy zainstalowanych o co mi chodzi, system nieaktualizowany (brak SP1+IE9) i widoczne wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox) ----> już jest najnowsza ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome To m.in. dziurawa Java jest przyczyną infekcji UKASH. . Odnośnik do komentarza
Michausz32 Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Kroki wykonane! Dziękuje uprzejmie za pomoc. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi