daro1206 Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Witam! Mam problem, wyświetla sie komunikat "Komputer został zablokowany z powodu naruszenia prawa polskiego". potrzebuje pomocy zeby to usunac poniewaz antywirus niczego nie wykrywa Podaje logi z OTL i proszę o skrypty usuwające to. http://wklej.org/id/853303/ http://wklej.org/id/853304/ Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Log zrobiony z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora a nie konta użytkownika Karina: Computer Name: KARINA-VAIO | User Name: Administrator | Logged in as Administrator. To konto nawet nie było aktywne przed akcją (widać świeży zrzut folderu konta na dysku). Konta mają inne rejestry i foldery. Logi muszą być zrobione z poziomu konta użytkownika, na którym jest infekcja. Tu tylko przypadkowo z poziomu Administratora widać wpisy infekcji na koncie Karina. Ale i tak log nie przedstawia kompletnego wykazu wpisów z konta Karina. Infekcje dwie: UKASH oraz z trefnej paczki Tibia. Plus adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\texe32.exe C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions C:\Users\Karina\AppData\Roaming\Babylon :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Loguj się na właściwe konto. 2. Przez Panel sterowania odinstaluj adware Browser Manager, DAEMON Tools Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj. Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
daro1206 Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 Zalogowałem na właściwe konto zrobiłem wszystko co trzeba. Teraz mogę korzystać z komputera działa już normalnie Dziękuję bardzo za pomoc, poniżej zamieszczam logi: http://wklej.org/id/853616/ http://wklej.org/id/853617/ http://wklej.org/id/853618/ Odnośnik do komentarza
picasso Opublikowano 23 Października 2012 Zgłoś Udostępnij Opublikowano 23 Października 2012 Logi zrobiłeś w niewłaściwej kolejności. Skoro podaję określoną sekwencję, ma to cel i nie wolno tego przestawiać. Skutki: log z OTL prezentuje wpisy, które usuwał AdwCleaner ... I na widoku kolejne prace, log z poziomu konta Karina pokazuje, że tu jest więcej składników infekcji (zapewne wszystkie z lewych paczek Tibia), w tym java_u.jar, który charakteryzują działania tego rodzaju: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Karina\AppData\Roaming\cpum C:\Users\Karina\AppData\Roaming\java_u.jar C:\Users\Karina\AppData\Roaming\sqlite.jar C:\Users\Karina\AppData\Roaming\*.dat C:\Program Files (x86)\*.dat C:\Users\Karina\active C:\Users\Karina\administrator :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CPUM"=- "Oracle Java"=- :OTL IE - HKU\S-1-5-21-754221854-2395747858-3904298166-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O4 - HKLM..\Run: [bEWINTERNET-PL-IEWSessionManager] "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
daro1206 Opublikowano 23 Października 2012 Autor Zgłoś Udostępnij Opublikowano 23 Października 2012 http://wklej.org/id/853780/ Nie miałem pojęcia ze wszystko musi być krok po kroku przepraszam. Czy te infekcje są szkodliwe dla systemu ? Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Zadania wykonane, kolejna partia zadań: 1. Poprawka na wyszukiwarki Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. Czy te infekcje są szkodliwe dla systemu ? Te pochodzące od pakietów Tibia są podejrzane o wykradanie haseł. Na sam koniec będzie tu prewencyjna wymiana haseł. . Odnośnik do komentarza
daro1206 Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Wszystkie czynności zostały wykonane poprawne wynik skanu: http://wklej.org/id/854095/ Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 1. Wyniki MBAM: instalatory zawierające adware oraz podejrzany ElfCrack.exe = wszystko usuń. Pozbądź się też wszelkich doładowanych ostatnio botów i dodatków do Tibia, bo tam jest źródło infekcji. 2. Zaktualizuj Internet Explorer i Java: KLIK. Log przedstawia wersje, wszystkie te Java odinstaluj przed nałożeniem nowej wersji: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 3. Wymień hasła logowania w serwisach / grach. . Odnośnik do komentarza
Rekomendowane odpowiedzi