witos85 Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Witam. Mam problem. Standardowo jak już pare osób przedemną mam zablokowany komputerem. Wyświetla się ekran żeby wpisać kod ukash. i teraz zaczynają się schody ponieważ jak wchodzę w tryb awaryjny z obsługą sieci to ekran wyskakuje po ok minucie i nie jestem w stanie tam nic zrobić. odpaliolem rescue disk kasperskiego przeskanowalem kompa, znalazl jakies wiirusiki ale tego konkretnego nie znalazl i dalej blokuje mi kompa. Probowalem wpisac ktorys z kodow zeby ekran bloikady na chwile zniknal i zebym mial czas na jakies dzialania ale zaden kod niedziala(probowalem offlline rowniez). moze ktos wie co w takiej sytuacji zrobic? chodziło mi o tryb awaryjny z wierszem polecen ale ogólnie to w każdym trybie wyskakuje blokada. sorka za pomylke FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. i teraz zaczynają się schody ponieważ jak wchodzę w tryb awaryjny z obsługą sieci to ekran wyskakuje po ok minucie Zrób log z poziomu zewnętrznego środowiska: OTLPE (jeśli to Windows XP) lub FRST (jeśli to Windows 7 lub Vista). . Odnośnik do komentarza
witos85 Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 super dzieki za szybka odpowiedz i sory za bałagan ale chyba 1 raz w życiu coś na forum pisze. Załącznik z raportem o który prosiłeś dodany. Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Apropos prosiłeś = jestem kobietą. 1. Otwórz Notatnik i wklej w nim: HKU\Marcin Misiorowski\...\Run: [Galileo] C:\Users\Marcin Misiorowski\AppData\Local\Galileo\galileo.exe silent [4044800 2012-08-14] () HKU\Marcin Misiorowski\...\Run: [hlgpvqx] C:\Users\Marcin Misiorowski\AppData\Roaming\pngjhyndv_S [x] HKU\Marcin Misiorowski\...\Policies\system: [DisableTaskMgr] 1 HKLM\...\Winlogon: [shell] explorer.exe, C:\ProgramData\pngjhyndv_S [x ] () 2012-09-07 11:24 - 2012-09-07 11:20 - 00120320 ____A C:\Users\Marcin Misiorowski\AppData\Roaming\pngjhyndv_S.exe 2012-09-07 11:20 - 2012-09-07 11:20 - 00120320 ____A C:\Users\Marcin Misiorowski\AppData\Local\pngjhyndv_S.exe 2012-09-07 11:20 - 2012-09-07 11:20 - 00120320 ____A C:\Users\All Users\pngjhyndv_S.exe CMD: rd /s /q "C:\Kaspersky Rescue Disk 10.0" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Wstaw obok narzędzia FRST. 2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Skrypt zostanie przetworzony i powstanie plik fixlog.txt. 3. Windows odblokowany, toteż startujesz już normalnie. Wchodzisz do Panelu sterowania i deinstalujesz adware Browsers Protector oraz (o ile nie instalowałeś celowo) AVG Secure Search. 4. Wykonaj obowiązkowe logi z OTL. Dołącz fixlog.txt. . Odnośnik do komentarza
witos85 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 ups sorka w takim razie. Komputer odblokowany. pliki z otl wrzucone. dzięki wielkie Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Ale dlaczego Ty wrzucasz pliki do pierwszego posta? Proszę zachowaj logiczny ciąg dyskusyjny. Usuń załączniki OTL + fixlog z pierwszego posta i wstaw gdzie należy. Zaś log OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Odnośnik do komentarza
witos85 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 oki. Już poprawione. Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 08-09-2012 Ran by SYSTEM at 2012-09-11 09:09:29 Run:1 Running from H:\ ============================================== HKEY_USERS\Marcin Misiorowski\Software\Microsoft\Windows\CurrentVersion\Run\\Galileo Value deleted successfully. HKEY_USERS\Marcin Misiorowski\Software\Microsoft\Windows\CurrentVersion\Run\\hlgpvqx Value deleted successfully. HKEY_USERS\Marcin Misiorowski\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableTaskMgr Value deleted successfully. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value was restored successfully . C:\Users\Marcin Misiorowski\AppData\Roaming\pngjhyndv_S.exe moved successfully. C:\Users\Marcin Misiorowski\AppData\Local\pngjhyndv_S.exe moved successfully. C:\Users\All Users\pngjhyndv_S.exe moved successfully. ========= rd /s /q "C:\Kaspersky Rescue Disk 10.0" ========= ========= End of CMD: ========= ==== End of Fixlog ==== Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 O ile infekcja zlikwidowana, to mamy do korekty uszkodzoną wartość BootExecute + do czyszczenia śmietnik adware zrobiony przez wtyczkę vShare (ten Browsers Protector to tylko jeden z elementów). 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 2. Przez Panel sterowania odinstaluj adware: Contextual Tool Extrafind, StartSearch Toolbar 1.3, SweetIM for Messenger 3.6, vShare.tv plugin 1.2. Otwórz Google Chrome i w Rozszerzeniach odinstaluj StartSearch Video plug-in. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log. 4. Zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie pozostałe sekcje na Brak + Żadne, klik w Skanuj. Dorzuć też log utworzony przez AdwCleaner w punkcie 3. . Odnośnik do komentarza
witos85 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Zrobione. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 1. Wymagana drobna korekta wyszukiwarek IE. Zrób nowy FIX.REG, tym razem o zawartości: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F6F0ABE8-D560-49EE-BEF0-41F816790D3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F6F0ABE8-D560-49EE-BEF0-41F816790D3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}] 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner zastosuj Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Java i Adobe: KLIK. Wersje aktualnie notowalne w Twoim systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417006FF}" = Java 7 Update 6 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) Odnośnik do komentarza
witos85 Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 super dziękuje ci bardzo, jesteś wielka Śmiga jak złoto. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi