airness Opublikowano 29 Września 2012 Zgłoś Udostępnij Opublikowano 29 Września 2012 Witam, próbję uratować komputer rodziców zaatakowany przez często tu opisywane draństwo żądające 500 zł za usunięcie blokady. Próbowałem Combofixa (to była pierwsza wskazówka, na którą się natknąłem w necie), ale bez powodzenia. Na komputerze jest chyba niezły rozgardiasz, okazało się, że od jakiegoś czasu nie było aktualnego antywirusa... Załączam logi. Będę bardzo wdzięczny za pomoc! OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\STACHU~1\USTAWI~1\Temp\kfkyrpow.sys -- (kfkyrpow) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\STACHU~1\USTAWI~1\Temp\catchme.sys -- (catchme) FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2010-11-12 13:11:58 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\conduit.xml [2011-08-26 21:29:02 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\SweetIM Search.xml [2011-08-26 21:30:00 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\sweetim.xml [2011-09-10 20:43:34 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\web-search.xml O4 - HKU\S-1-5-21-1614895754-1958367476-839522115-1003..\Run: [culekhxyvvybhys] C:\WINDOWS\culekhxy.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\jzfccwnsvihoswh C:\Documents and Settings\All Users\Dane aplikacji\czbxzlvhjbabdjr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 4.1 Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / vshare Add-On / SweetIM Toolbar for Firefox 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
airness Opublikowano 30 Września 2012 Autor Zgłoś Udostępnij Opublikowano 30 Września 2012 Dzięki za odpowiedź. \niestety nie wszystko poszło zgodnie z planem: 1. Wykonałem krok 1. Po restarcie komputera dostałem komunikat z pytaniem, czy chcę uruchomić OTL. Pozwoliłem na to i pojawił się pusty pulpit. Odczekałem kilka minut - nic się nie zadziało, więc zrestartowałem komputer jeszcze raz. Tym razem Uruchomił się normalnie, ale gdy tylko spróbowałem uruchomić cokolwiek, zawiesił się. Po kolejnym restarcie to samo. Uruchomiłem więc w trybie awaryjnym i przystąpiłem do kolejnych kroków, tj. odinstalowywania SweetIM. Niestety wyskoczył komunikat informujący o braku możliwości odinstalowania wynikającej albo z błędu Instalatora albo z trybu awaryjnego (przy czym inne programy mogłem odinstalować...). Odinstalowałem wskazane dodatki w Firefoxie i uruchomiłem Adwcleanera. Niestety, w trybie normalnym komputer wciąż się zawiesza po próbie jakiejkolwiek akcji. Załączam nowy log z OLT (robiony w trybie awaryjnym). Będę wdzięczny za dalsze wskazówki. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 Infekcja została poprawnie usunięta. Logi są już czyste. Uruchomiłem więc w trybie awaryjnym i przystąpiłem do kolejnych kroków, tj. odinstalowywania SweetIM. Niestety wyskoczył komunikat informujący o braku możliwości odinstalowania wynikającej albo z błędu Instalatora albo z trybu awaryjnego (przy czym inne programy mogłem odinstalować...). To musisz z trybu normalnego odinstalować bo tylko w tym trybie działa usługa Instalator Windows. Niestety, w trybie normalnym komputer wciąż się zawiesza po próbie jakiejkolwiek akcji. Może Avast coś ma tu do rzeczy. Spróbuj go testowo odinstalować za pomocą firmowego narzędzia Avast Uninstall Utility Odnośnik do komentarza
airness Opublikowano 30 Września 2012 Autor Zgłoś Udostępnij Opublikowano 30 Września 2012 Okazało się, że był zainstalowany jeszcze jakiś antywirus. Usunąłem go i teraz wszystko wygląda ok. Dzięki! Odnośnik do komentarza
Landuss Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 To jeszcze wykonaj kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi