Zablokowany komputer - Weelsof, policja etc.

[Laco]

Witam,

 

Standardowy już problem z nakładkami policyjnymi...

Proszę o szybką pomoc

 

Pozdrawiam

 

Logi:

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Asia i Łukasz\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:OTL
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll File not found
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O4 - HKLM..\Run: [88ae169] C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169\88ae169.exe (Trend Micro)
O4 - HKCU..\Run: [88ae169] C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169\88ae169.exe (Trend Micro)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ASIAIU~1\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. System powinien zostać odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Laco]

Dziękuje Ci serdecznie.

Pomogło.

 

Załączam kolejny log otl.

Zależy mi na tym by mi ten wirus przestał zawracać głowę.

Proszę o kolejne kroki co z tym zrobić.

 

Pozdrawiam!

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane. Ale w międzyczasie użyłeś AdwCleaner (nic takiego nie zadawałam) i trzeba poprawić po nim, bo zeruje wyszukiwarki Internet Explorer. Poza tym, program pobrany z serwisu nieoficjalnego:

 

[2012-12-12 10:40:10 | 000,540,743 | ---- | M] () -- C:\Documents and Settings\Asia i Łukasz\Pulpit\AdwCleaner_www.INSTALKI.pl.exe

 

Jedyne linki oficjalne i autoryzowane, gwarantujące najnowszą wersję, są w przyklejonym temacie: KLIK. Pobieranie z Instalek to może być niespodzianka i nadzianie się na starą wersję. Już tu były z tym na forum problemy.

 

Kolejna sprawa to ślady używania ComboFix. Na przyszłość: KLIK.

 

 

---

Kolejne działania do wykonania:

 

1. Czas komputera jest niepoprawny, cofnięcie o miesiąc wstecz:

 

OTL logfile created on: 2012-11-11 15:58:07 - Run 2

 

Skoryguj.

 

2. Poprawka po AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[Laco]

Wszystko zrobione z powyższymi instrukcjami

 

Malwarebytes Anti - Malware wykrył dwa pliki.

 

O to log z programu.

 

Pozdrawiam

mbam-log-2012-12-12 (19-33-02).txt

[picasso]

MBAM wykrył pliki wg nazwy wyglądające na od infekcji z USB, zrobione przez Przywracanie systemu na dysku D. Czy na pewno został wykonany wcześniej ten punkt:

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

Nie mylić z czyszczeniem Temp.

 

 

.

[Laco]

Nie wiem czy dobrze zrozumiałem tutorial.

 

Po prostu wyłączyłem przywracanie systemu.

A kolejno po jakieś chwili je ponownie włączyłem.

 

Ze względu na to, że jednak czasami się ona przydaje.

[picasso]

Wg opisu akcję zrobiłeś prawidłowo. Skoro jednak MBAM nadal widzi jakieś podejrzane pliki w folderze Przywracania systemu na dysku D po prostu usuń za pomocą programu. Po tym ponów skan MBAM i podaj mi wyniki czy nadal coś znajduje w System Volume Information.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso