arti37 Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Witam Podczas przeglądania stron w sieci nagle ekran zrobił się biały,a następnie pojawiła się strona z flagą naszego kraju,moim adresem IP i komunikatem że komputer został zablokowany i trzeba wpłacić 2 razy po 50 euro żeby otrzymać kody odblokowujące.Przyznam się że po wizycie na kilku forach użyłem programu Combofix lecznic to nie dało.Komputer działa tylko w trybie awaryjnym.Proszę o pomoc i z góry dziękuję. OTL.Txt Extras.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 W logu z OTL nie widać w ogóle wpisów startowych tej infekcji. A zapewne dlatego, że logi są wygenerowane ze złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: ARTUR | User Name: Administrator | Logged in as Administrator. Konta mają inne rejestry i foldery, co znacząco zmienia raporty. Proszę o zrobienie logów OTL z poziomu konta użytkownika. . Odnośnik do komentarza
arti37 Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Witam.Rzeczywiście logi były wygenerowane z poziomu administratora.Wrzucam poprawne.Dziękuję! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Na właściwym koncie dobrze widoczny wpis od infekcji (BOS). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012-05-08 15:14:30 | 000,185,856 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20080122.002\symidsco.sys -- (SYMIDSCO) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (GEARAspiWDM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - [2007-03-01 11:34:36 | 000,028,352 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2007-02-07 11:00:00 | 000,383,800 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) IE - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=d4196543000000000000001302cd133e" IE - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF}: "URL" = "http://mystart.magentic.com/?search={searchTerms}&loc=search_box" IE - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test_v2&a=1eynQa7SA2J" IE - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\SearchScopes\{E8930232-4B31-4251-986C-98061BDC75B4}: "URL" = "http://www.ant.com/web/{searchTerms}/" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-759917011-1756250584-1555316252-1006\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. O4 - HKU\S-1-5-21-759917011-1756250584-1555316252-1006..\Run: [bOS] C:\BOS\bos.exe () O16 - DPF: {FAB2BB9D-91E9-457E-9D42-75A7FCCBBC00} "http://g2g.l-m.pl/plugin/DFusionHomeWebPlugIn.Installer.exe" (Reg Error: Key error.) [2012-07-22 21:39:44 | 000,000,000 | ---D | C] -- C:\BOS [2011-06-19 11:53:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2009-10-24 12:50:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Toshiba\Dane aplikacji\Error Fix :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Web Assistant 2.0.0.441. Otwórz Google Chrome i w Opcjach zmień stronę startową. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 3. Notowalne szczątki po starszych antywirusach. Co widoczne usuwam w punkcie 1, ale na wszelki wypadek z poziomu Trybu awaryjnego zapraw specjalizowanymi czyścicielami: Norton Removal Tool + Avira Registry Cleaner. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2. . Odnośnik do komentarza
arti37 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Witam serdecznie.Wrzucam logi po wszystkich zabiegach.Mam nadzieję że jest już czysto.Niestety nie mogę dodać pliku z usuwania OTL ponieważ wyświetla się komunikat że nie mam uprawnień.Jak mam to zrobić? OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Niestety nie mogę dodać pliku z usuwania OTL ponieważ wyświetla się komunikat że nie mam uprawnień.Jak mam to zrobić? Darujmy to sobie już, widać w nowym skanie OTL pożądane zmiany, zostały tylko poprawki. A pliku nie możesz dołączyć, bo załączniki akceptują tylko rozszerzenie *.TXT, a to jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. 1. W międzyczasie domyślna wyszukiwarka + strona startowa Google Chrome przestawiły się na adware. Otwórz Google Chrome, wejdź do Opcji, zmień stronę startową oraz w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na np. Google, po tym Search the web (Babylon) skasuj z listy. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: G:\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Podstawy aktualizacyjne do wykonania: KLIK. Czyli w Twoim przypadku ta drobnica: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) ----> już jest najnowsza PS. Gadu-Gadu 10 to żerny potwór, je zasoby, dręczy reklamami. Sugeruję rozpatrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi