Proszę o pomoc w odblokowaniu komputera

[Miroslaw]

Proszę o pomoc w odblokowaniu komputera

Gostek podszywa się pod policję i żąda zapłaty za odblokowanie komputera 500zł ( UKASH )

W naszym lokalnym radio zanalazłem informację że można go załatwić programem Combofix

poczytałem trochę w internecie więc zalogowałem się na forum i proszę o pomoc.

Dla informacji mam zablokowane jedno konto użytkownika które miało uprawnienia administratora inne konta działają.

Dane komputera:

Microsoft Windows XP Profesional wersja 2002

dodatek serwice pack 3

ADM Athlon ™ II X4 620

3,25 GB RAM

system 32 bitowy.

Jednocześnie uczciwie przyznaję że trzeba mi rzeczy tłumaczyć w sposób prosty bo nie mam wykształcenia informatycznego.

Programu Combofix jeszcze nie uruchomiałem zgodnie z zapisami instrukcji

Z góry dziękuję i czekam na info od Was

OTL.Txt

Extras.Txt

[Landuss]

Logi dodałeś więc można brać się za usuwanie infekcji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A"
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&"
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: []  File not found
O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [nrbjpfkoqhwshjz] C:\Documents and Settings\All Users\Dane aplikacji\nrbjpfko.exe ()
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\sebbdoeaqcdjyri
C:\Documents and Settings\All Users\Dane aplikacji\tmziytgxwpuqtaq
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar + Ask Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Miroslaw]

Proszę o pomoc w odblokowaniu komputera

Gostek żąda zapłaty za odblokowanie komputera 500zł ( UKASH )

W naszym lokalnym radio zanalazłem informację że można go załatwić programem Combofix

poczytałem trochę w internecie więc zalogowałem się na forum i proszę o pomoc.

Dla informacji mam zablokowane dwa konta użytkownika które miało uprawnienia administratora inne konta działają.

Dane komputera:

Microsoft Windows XP Profesional wersja 2002

dodatek serwice pack 3

ADM Athlon ™ II X4 620

3,25 GB RAM

system 32 bitowy.

Jednocześnie uczciwie przyznaję że trzeba mi rzeczy tłumaczyć w sposób prosty bo nie mam wykształcenia informatycznego.

Programu Combofix jeszcze nie uruchomiałem zgodnie z zapisami instrukcji

Z góry dziękuję i czekam na info od Was

Proszę o wyjaśnienie w prosty sposób jak wykonać log komputera

 

Wykonałem log z zaifekowanego konta administratora

Nie wiem czy to ważne ale mam antywira AVG 2012 i wygląda jakby po kilku dniach podał komunikat że jest wirus i po wrzuceniu do kwarantanny blokada zniknęła

OTL.Txt

Extras.Txt

[Landuss]

ComboFixa używać nie będziemy bo nie ma takiej potrzeby.

 

W kwestii logów - są źle wykonane. To są logi z konta Gość a nie logi z zainfekowanych kont. Proszę zrobić raporty z poziomu kont zainfekowanych użytkowników. Możesz to zrobić w trybie awaryjnym bo tam blokady nie ma.

[Miroslaw]

Wykonałem log z zainfekowanego konta administratora

Nie wiem czy to ważne ale mam antywira AVG 2012 i wygląda jakby po kilku dniach podał komunikat że jest wirus i po wrzuceniu do kwarantanny blokada zniknęła

nowe logi załączyłem w poprzednim wpisie po usunięciu starych

[Landuss]

Tutaj jeszcze jest trochę do roboty bo nie do końca wszystko jest usunięte.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A"
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599"
IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&"
O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [smiEngine] C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180\SmiEngine.exe File not found
O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609\WUDFPlatform.exe File not found
O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: []  File not found
O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [Xioxw] "C:\Documents and Settings\Mirek\Dane aplikacji\Tydi\asmuc.exe" File not found
 
:Files
C:\Documents and Settings\Mirek\Dane aplikacji\Exvyhi
C:\Documents and Settings\Mirek\Dane aplikacji\Nyqav
C:\Documents and Settings\Mirek\Dane aplikacji\Tydi
C:\Documents and Settings\Iwona\Dane aplikacji\hellomoto
C:\Documents and Settings\Mirek\Dane aplikacji\hellomoto
C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180
C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Miroslaw]

zrobione wg powyższej instrukcji

OTL.Txt

[Landuss]

Tym razem mogę uznać, że jest już czysto. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Miroslaw]

Dzięki jesteś Wielki

szacunek