Miroslaw Opublikowano 19 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 Proszę o pomoc w odblokowaniu komputera Gostek podszywa się pod policję i żąda zapłaty za odblokowanie komputera 500zł ( UKASH ) W naszym lokalnym radio zanalazłem informację że można go załatwić programem Combofix poczytałem trochę w internecie więc zalogowałem się na forum i proszę o pomoc. Dla informacji mam zablokowane jedno konto użytkownika które miało uprawnienia administratora inne konta działają. Dane komputera: Microsoft Windows XP Profesional wersja 2002 dodatek serwice pack 3 ADM Athlon ™ II X4 620 3,25 GB RAM system 32 bitowy. Jednocześnie uczciwie przyznaję że trzeba mi rzeczy tłumaczyć w sposób prosty bo nie mam wykształcenia informatycznego. Programu Combofix jeszcze nie uruchomiałem zgodnie z zapisami instrukcji Z góry dziękuję i czekam na info od Was OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 20 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2012 Logi dodałeś więc można brać się za usuwanie infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [nrbjpfkoqhwshjz] C:\Documents and Settings\All Users\Dane aplikacji\nrbjpfko.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\sebbdoeaqcdjyri C:\Documents and Settings\All Users\Dane aplikacji\tmziytgxwpuqtaq :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar + Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Miroslaw Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Proszę o pomoc w odblokowaniu komputera Gostek żąda zapłaty za odblokowanie komputera 500zł ( UKASH ) W naszym lokalnym radio zanalazłem informację że można go załatwić programem Combofix poczytałem trochę w internecie więc zalogowałem się na forum i proszę o pomoc. Dla informacji mam zablokowane dwa konta użytkownika które miało uprawnienia administratora inne konta działają. Dane komputera: Microsoft Windows XP Profesional wersja 2002 dodatek serwice pack 3 ADM Athlon ™ II X4 620 3,25 GB RAM system 32 bitowy. Jednocześnie uczciwie przyznaję że trzeba mi rzeczy tłumaczyć w sposób prosty bo nie mam wykształcenia informatycznego. Programu Combofix jeszcze nie uruchomiałem zgodnie z zapisami instrukcji Z góry dziękuję i czekam na info od Was Proszę o wyjaśnienie w prosty sposób jak wykonać log komputera Wykonałem log z zaifekowanego konta administratora Nie wiem czy to ważne ale mam antywira AVG 2012 i wygląda jakby po kilku dniach podał komunikat że jest wirus i po wrzuceniu do kwarantanny blokada zniknęła OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Września 2012 Zgłoś Udostępnij Opublikowano 26 Września 2012 ComboFixa używać nie będziemy bo nie ma takiej potrzeby. W kwestii logów - są źle wykonane. To są logi z konta Gość a nie logi z zainfekowanych kont. Proszę zrobić raporty z poziomu kont zainfekowanych użytkowników. Możesz to zrobić w trybie awaryjnym bo tam blokady nie ma. Odnośnik do komentarza
Miroslaw Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 Wykonałem log z zainfekowanego konta administratora Nie wiem czy to ważne ale mam antywira AVG 2012 i wygląda jakby po kilku dniach podał komunikat że jest wirus i po wrzuceniu do kwarantanny blokada zniknęła nowe logi załączyłem w poprzednim wpisie po usunięciu starych Odnośnik do komentarza
Landuss Opublikowano 27 Września 2012 Zgłoś Udostępnij Opublikowano 27 Września 2012 Tutaj jeszcze jest trochę do roboty bo nie do końca wszystko jest usunięte. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&" O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [smiEngine] C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180\SmiEngine.exe File not found O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609\WUDFPlatform.exe File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [Xioxw] "C:\Documents and Settings\Mirek\Dane aplikacji\Tydi\asmuc.exe" File not found :Files C:\Documents and Settings\Mirek\Dane aplikacji\Exvyhi C:\Documents and Settings\Mirek\Dane aplikacji\Nyqav C:\Documents and Settings\Mirek\Dane aplikacji\Tydi C:\Documents and Settings\Iwona\Dane aplikacji\hellomoto C:\Documents and Settings\Mirek\Dane aplikacji\hellomoto C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180 C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Miroslaw Opublikowano 27 Września 2012 Autor Zgłoś Udostępnij Opublikowano 27 Września 2012 zrobione wg powyższej instrukcji OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Września 2012 Zgłoś Udostępnij Opublikowano 28 Września 2012 Tym razem mogę uznać, że jest już czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Miroslaw Opublikowano 28 Września 2012 Autor Zgłoś Udostępnij Opublikowano 28 Września 2012 Dzięki jesteś Wielki szacunek Odnośnik do komentarza
Rekomendowane odpowiedzi