Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z "Komputer zablokowany - polska policja, cyberprzestępczość"

Aftur

Przez Aftur
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

System zabrudzony także adware...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Aftur\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Aftur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Windows\tasks\OptimizerPro1UpdaterTask{C4161032-AA77-4203-AE19-09F38B519C6F}.job
C:\Users\Aftur\AppData\Local\promo.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. W systemie działają szczątki Avast. Z poziomu Trybu awaryjnego zastosuj Avast Uninstall Utility.

 

3. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj adware Download and Sa, OptimizerPro1, Optimizer Pro v3.0, Search Assistant AppsAreFun 1.66, Search Assistant MocaFlix 1.66.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dwie niepożądane zmniany:

 

- Wyraźnie kierowałam do tematu na forum, w którym są jedne autoryzowane linki pobierania AdwCleaner oferujące najnowszą wersję. Użyłeś zupełnie przestarzałą wersję AdwCleaner v2.005, na dodatek wadliwą (błąd operacyjny, uszkodzenia domyślnych wyszukiwarek IE). Najnowsza to daleko w przodzie 2.011.

 

- Co gorsza ... podpiąłeś zainfekowany pendrive! Pojawiły się pliki potwornego wirusa Sality, przy którym policyjna blokada to prymityw, zreplikowane na wszystkich dyskach, a w procesach działają moduły z Temp dowodujące, że wirus jest czynny:

 

========== Modules (No Company Name) ==========
 
MOD - [2012/12/05 16:28:55 | 000,012,970 | ---- | M] () -- C:\Users\Aftur\AppData\Local\Temp\winqmau.exe
MOD - [2012/12/05 16:28:49 | 000,036,010 | ---- | M] () -- C:\Users\Aftur\AppData\Local\Temp\winrvrcwn.exe
 
O32 - AutoRun File - [2012/12/05 15:48:48 | 000,000,245 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012/12/05 15:48:48 | 000,000,264 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012/10/12 20:24:10 | 000,000,331 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ]

 

Wirus Sality infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Tu jest system 64-bit, czyli zainfekowana zostanie tylko część 32-bit. Ale to i tak sporo...

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku (zwrot zero zainfekowanych).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
tjcpa.exe /alldrives
C:\Windows\tasks\OptimizerPro1UpdaterTask*.job
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Pobierz z tematu tu na forum najnowszy AdwCleaner, uruchom i zastosuj Delete.

 

4. Zrób nowy log OTL z opcji Skanuj, tak by powstał plik Extras (opcja "Rejestr - skan dodatkowy" ustawiona na "Użyj filtrowania") oraz USBFix z opcji Listing (ma być przy podpiętym pendrive zrobiony). Podaj log utworzony przez najnowszy Adwcleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jakie były statystyki w SalityKiller? W OTL jakby lepiej (ustąpiły procesy Sality z Temp), ale to nie jest gwarancja, musi tu być wykonany jeszcze pełny skan antywirusowy. Na teraz do przeprowadzenia te działania:

 

1. Usunięcie z dysków szczątkowych plików Sality. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\tjcpa.exe
D:\cjpmdj.pif
H:\ucbu.exe

 

Klik w Wykonaj skrypt.

 

2. Korekta domyślnych wyszukiwarek IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]


@="Bing"


"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"


"DisplayName"="@ieframe.dll,-12512"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]


@="Bing"


"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"


"DisplayName"="@ieframe.dll,-12512"


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]


 


[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Wyczyszczenie Google Chrome z adware. Proponuję przeinstalować na czysto. Odinstaluj bieżącą wersję, przy deinstalacji wyraź zgodę na usunięcie "plików użytkownika", zainstaluj najnowszą wersję.

 

4. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Zrób pełny skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw skan wszystkich dysków, co wydłuży sprawdzanie, ale da wiarygodniejsze wyniki. Na dyskach nie mogą się ostać żadne pliki z genem Sality. Jeśli Kaspersky coś wykryje, zaprezentuj tu wyniki typu "Detected" (inne typy mnie nie interesują).

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jeśli po leczeniu z Sality jakiś program będzie zwracał błędy uruchomienia, należy go przeinstalować na nowo (uszkodzony przez wirusa lub leczenie). Na zakończenie jeszcze drobne aktualizacje. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

Odintaluj stary Adobe Flash Player 10 Plugin, również starszą Java i zastąp najnowszą, sprawdź wersję wtyczki Adobe Flash w Internet Explorer, zainstaluj pakiet SP1 dla Office 2010: KLIK.

 

Dodatkowa uwaga na temat Gadu-Gadu 10 (to ono zainstalowało ten stary dziurawy Adobe Flash 10). Straszny program, zasoby systemu zadręcza. Obejrzyj sobie alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Wszystkie opisy: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...