gregepi Opublikowano 11 Listopada 2012 Zgłoś Udostępnij Opublikowano 11 Listopada 2012 Po uruchomieniu komputera pojawiła się strona informująca że komputer został zablokowany przez policję i aby go odblokować należy dokonać wpłaty. Ponieważ komputer nie reagował na żadne komunikaty z klawiatury zrestartowałem go. Po restarcie komputer uruchomił się normalnie. Przeskanowałem go zainstalowanym programem antywirusowym nod32 nie odnlazł żadnej infekcji. Czy to oznacza że infekcja została usunięta czy może wirus może jest uśpiony i może się jeszcze uaktywnić? Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Sądzisz, że na podstawie takich danych coś się dowiemy i potwierdzimy? Nic a nic. Zasady działu co tu się pokazuje obowiązkowo: KLIK. Dostarcz wymagane logi. . Odnośnik do komentarza
gregepi Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 załączam logi z OTL gmer i malwerbytes nie mogę tylko znaleźć pliku extras chyba coś zrobiłe nie tak OTL.Txt mbam-log-2012-11-10 (19-26-20).txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 nie mogę tylko znaleźć pliku extras chyba coś zrobiłe nie tak Wróć do opisu konfiguracji OTL: KLIK. Wyraźnie zaznaczone na różowym tle która opcja odpowiada za ten plik Extras. Sekcja "Rejestr - skan dodatkowy" musi być na "Użyj filtrowania". Ponieważ komputer nie reagował na żadne komunikaty z klawiatury zrestartowałem go. Po restarcie komputer uruchomił się normalnie. Przeskanowałem go zainstalowanym programem antywirusowym nod32 nie odnlazł żadnej infekcji. Skan MBAM wyraźnie mówi, że to były pozory. MBAM wykrył pliki tej infekcji na dysku. I nie wszystko po niej usunął. MBAM kasował plik C:\Users\Ania\AppData\Local\Temp\wgsdgsdgdsgsd.exe, a na dysku nadal jest C:\ProgramData\dsgsdgdsgdsgw.pad. Będziemy też usuwać adware, wpisy puste i szczątki po Ad-aware. 1. Przez Panel sterowania odinstaluj adware Ask Toolbar oraz McAfee Security Scan Plus (sponsor paczek Adobe). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Ania\AppData\Local\Temp*.html C:\Users\Ania\AppData\Roaming\LavasoftStatistics C:\Users\Ania\AppData\Roaming\Ad-Aware Antivirus C:\Program Files\mozilla firefox\searchplugins\adawaretb.xml C:\scu.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKU\S-1-5-21-154919784-2757295694-3744922394-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=3D82041F8FAF7828058DE9509E633C13&q={searchTerms}" IE - HKU\S-1-5-21-154919784-2757295694-3744922394-1000\..\SearchScopes\{451B639F-D036-479E-ABBE-2478DA4CE6C7}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=404D7973-DD42-4FA7-8962-C2BBCEAC3B86&apn_sauid=5E9F5DF1-0572-42B1-AC87-8A2399106BED" O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Ania\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-154919784-2757295694-3744922394-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Firefox: wyczyść ze śmieci poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Google Chrome: wejdź do ustawień. W sekcji "Po uruchomieniu" usuń stronę startową safesearchr.lavasoft.com. W zarządzaniu wyszukiwarkami przestaw domyślną z blekko na Google, po tym blekko usuń z listy. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
gregepi Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Wykonałem wszystkie polecenia. Dołączam logi z OTL i adwcleaner OTL.Txt Extras.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 99% zrobione, tylko poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W Google Chrome nadal ta strona startowa: ========== Chrome ========== CHR - homepage: "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=2_2&u=3D82041F8FAF7828058DE9509E633C13" Zamknij Google Chrome (nie może być uruchomione w procesach) i otwórz w Notatniku plik: C:\Users\Ania\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazy homepage i zastąp adresy. 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" usuń z Pulpitu do kosza. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu posiadasz wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"{A1350B64-1AF8-497B-AC07-307DF67FB8D4}" = ESET Smart Security"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczk dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"NOD32 v3.x FiX 1.1 by TemDono_is1" = NOD32 v3.x FiX 1.1 by TemDono (Free Updates - Expire in 2050) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () Czyli: obie stare Java 6 odinstaluj, podobnie jak produkty Adobe (po tym zainstaluj najnowsze wersje Adobe), a ESET Smart Security stary (z roku 2007 silnik!) i scrackowany = do kompletnej wymiany. PS. Widzę też zainstalowane koszmarne Gadu-Gadu 10 (żerca zasobów!). Polecam alternatywne przyjaźniejsze zasobom alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
gregepi Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Sprzątanie skończone. Aktualizacje zrobione. Wielkie dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi