Zablokowanie komputera przez znany problem z niby policją

[frankothomas]

Witam,

jak pozbyć się tego dziadostwa?

Z góry dziękuje za pomoc.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [syshost32] C:\Windows\Installer\{42A760ED-36EE-CC76-CD9F-CD8FAD7E8336}\syshost.exe ()
 
:Files
C:\Windows\Installer\{42A760ED-36EE-CC76-CD9F-CD8FAD7E8336}
C:\Users\Sadki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Sadki\wgsdgsdgdsgsd.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz dołącz log z wynikami usuwania OTL z punktu 1. Dodatkowo, jest na dysku dziwny plik budową przypominający sterownik rootkita Necurs:

 

[2012-11-26 09:44:55 | 000,074,712 | ---- | M] () -- C:\Windows\SysNative\drivers\bba1b67816028d3c.sys

 

W związku z tym zrób skan w Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nic nie usuwaj = ustaw akcje na Skip i zaprezentuj raport TDSSKiller.

 

 

 

.

[frankothomas]

Wykonałem wszystko, komputer się odblokował, ale w prawym dolnym rogu mam teraz napis: "Tryb testu Windows7 kompilacja 7601". Co z tym zrobić? Załączam wszystkie pliki.

Log OTL z wynikami usuwania.txt

OTL.Txt

raport TDSSKiller.txt

[picasso]

w prawym dolnym rogu mam teraz napis: "Tryb testu Windows7 kompilacja 7601

 

Czyli rootkit Necurs tu był, bo to jest skutek po jego pobycie. Nie wyczyściłeś tej infekcji w prawidłowy sposób, nie wiem też czym się posługiwałeś przy jej usuwaniu, bo plik Necurs jest na dysku.

 

1. Zdejmij znak wodny Tryb testu z Pulpitu. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

bcdedit /set testsigning off

 

Zresetuj system. Po restarcie znak wodny zniknie.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysNative\drivers\bba1b67816028d3c.sys
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z wynikami usuwania.

 

 

 

.

[frankothomas]

Wykonałem. Załączam log z usuwania.

log OTL z usuwania.txt

[picasso]

O znaku wodnym nic nie wspominasz, więc jak sądzę został prawidłowo zdjęty. Ostatni skrypt do OTL również prawidłowo wykonany. Finalizuj sprawy:

 

1. W OTL uruchom Sprzątanie, co usunie z dysku OTL wraz z kwarantanną z trojanami.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[frankothomas]

Malwarebytes znalazło jedną rzecz:

mbam-log-2012-11-27 (18-18-03).txt

[picasso]

1. Wyniki MBAM: małe piwo. PUP.BundleInstaller.IB to jakiś instalator "wzbogacony" (adware), po prostu usuń.

 

2. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędziem z artykułu KB2545227.

 

3. Usuń starą Javę i zastąp najnowszą, zaktulizuj OpenOffice.org i Firefoxa: KLIK. Wg raportu obecnie masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[frankothomas]

Dziękuje bardzo za pomoc

Temat do zamknięcia.