Pomocy !

[andi12]

Witam , piszę z pomocą gdyż mój komputer stacjonarny został zablokowany przez policje ale to juz 2 przypadek i wczesniej juz pisałem tu opomoc i wszystko było ok teraz jednak to jest chyba nowsza wersja tego wirusa i komputera wogóle nie mogę uruchomic w trybie awaryjnym moge szczelic formata ale niechce wszystkiego odnowa instalowac wchodzi opcja uruchom komputer z wierszem polecenia , wirus niewyskakuje na ekranie ale po wcisnieciu alt-ctr-del moge wejsc np na pendrive lub inne porgramy ale internet niedziała ale to nic pisze z laptopa , jezeli ktos moze mi pomuc prosze opisć wszystko pokoleico i jak zebym nic nie zwalił jeżeli podac jakies info prosze pisać . sorki za błedy ort idziekuje

[picasso]

komputera wogóle nie mogę uruchomic w trybie awaryjnym

 

Dodaj raport zrobiony z poziomu środowiska zewnętrznego: FRST (jeśli Windows 7 / Vista) lub OTLPE (jeśli XP).

 

 

wczesniej juz pisałem tu opomoc

 

Z jakiego konta? Chodzi mi o to, że teraz najwyraźniej założyłeś nowe. Jaki jest problem ze starym?

 

 

.

[andi12]

w jaki sposób mamto zrobić nie moge uruchomić gow trybieawaryjnym niemamdostępu do internetu mogę tylko użyć a uruchomic go moge tylko wtrybieawaryjnym z wierszem polecenia

[picasso]

No jak to. Mówiłeś "ale to nic pisze z laptopa". Na laptopie masz przygotować bootowalny nośnik z danym narzędziem. Po przygotowaniu CD lub USB startujesz z tego na chory komputer stacjonarny, by wytworzyć logi.

[andi12]

czyli mam pobracna laptopie otl i uruchomicpoprzezusbna chorym komp ?

[picasso]

Masz pobrać na laptopie nie OTL tylko albo OTLPE albo FRST i przygotować na laptopie bootowalną płytę lub bootowalny USB. Dopiero ten nośnik wsadzasz do chorego komputera i restartujesz system. Windows nie załaduje się, ma zbootować środowisko zewnętrzne umożliwiające stworzenie raportu. Przecież wszystko jest w opisie OTLPE / FRST wyjaśnione...

 

 

 

.

[andi12]

tam gdzie jest instrukcja to co dokładnie pobrać nacodokładnie kliknac

[picasso]

andi12, przecież masz tam w opisach wielkie brązowe przyciski...

[andi12]

OTLPEStd.exe

OTLPENet.exe

OTLPE.zip

 

które dokładniemam wybrać?

[picasso]

Pierwszą lub drugą pozycję.

[andi12]

ok pobralem OTLPE.zip

potemzgralem program na pendrive i włączyłem go na trybie awaryjnym z wierszem polecenia nie zmieniając żadnych opcji nacisnołem RUN SCAN wykonało go i teraz czy oto chodziło czy nie bo jezeli tak to teraz zegram tocowykazał ten skan i wgramtutaj jeżeli nie oto chodziło proszę odokładniesze polecenia co i jak przpraszam że tak męcze .

[picasso]

zgralem program na pendrive i włączyłem go na trybie awaryjnym z wierszem polecenia nie zmieniając żadnych opcji nacisnołem RUN SCAN

 

Nie o to mi chodziło. Wg opisu Ty nagrałeś narzędzie na pendrive ot tak a nie jako bootowalny USB i uruchomiłeś spod Windows (a ta płyta ma być uruchomiona samodzielnie nie spod Windows). By nagrać bootowalny USB, są potrzebne specjalne narzędzia a nie ręczny zapis OTLPE na USB... Jest to tam przecież wyjaśnione.

 

Z innej strony: powyższe wskazuje, że jesteś zdolny uruchomić Tryb awaryjny z wierszem polecenia i jakieś narzędzie. W związku z tym: na laptopie normalnie zapisz na pendrive tradycyjny OTL (KLIK), podepnij pendrive do stacjonalnego, wejdź w Tryb awaryjny i uruchom OTL z pendrive. Podaj wynikowe logi.

 

 

 

 

.

[andi12]

'' wejdź w Tryb awaryjny i uruchom OTL z pendrive''

tryb awaryjny cz tryb awaryjny z wierszem polecenia ?

trybu awaryjnego nie wloncze ale tryb awar z wierszem polecenia owszem Czyli mam zrobić to samo co wczesniej zrobilem tylko z tradycyjnym OTL w TRYBIE AWARYJNYM Z WIERSZEM POLECENIA !

tak ?

[picasso]

Mam na myśli oczywiście ten, w który udało Ci wejść. Mówiłeś o Trybie awaryjnym z Wierszem polecenia... Tak, startujesz do niego i robisz logi za pomocą normalnego OTL (a nie OTLPE).

[andi12]

Po włączyniu OTL jest zaznaczone wiele opcjji usługi procesy itp zaznaczone jako ''użyj filtrowania ' zostawićwszystkie opcje tak jak są czy coś dodadkowo zanczyć ??

 

wykonałem powiedz co dalej robić

OTL.Txt

Extras.Txt

[picasso]

andi12, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. A poza tym, nie odpowiedziałeś mi na pytanie o konto na forum:

 

wczesniej juz pisałem tu opomoc

 

Z jakiego konta? Chodzi mi o to, że teraz najwyraźniej założyłeś nowe. Jaki jest problem ze starym?

 

 

System jest bardzo zaśmiecony, jest tu również infekcja (Svhost.exe) wyglądająca mi na jakiegoś keyloggera oraz masa adware. Przechodząc do usuwania infekcji i adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Właściciel\wgsdgsdgdsgsd.dll
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\WINDOWS\tasks\Protected Search.job
C:\Program Files\uik.dat
C:\Program Files\is.dat
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=3231"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41460&home=true&tid=3231"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41460&home=true&tid=3231"
IE - HKLM\..\SearchScopes\{575DC5DE-7B9A-4457-BA83-1A4D89C6640C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7e42dc1c-8402-11e1-9d41-0018f3911b73&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={C9A43BDD-DB8E-11E0-97FE-0018F3911B73}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=3231&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120623182025578&tb_oid=23-06-2012&tb_mrud=23-06-2012"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={A15C33B4-B2FD-4B97-B6BD-D98E1B84D52E}&mid=22690408c05547d1b460d151b575f280-24045a89aa5adbad32a4b5b06b92709dcc8fef64&lang=pl&ds=xn011&pr=sa&d=2012-09-02 01:00:07&v=12.2.0.5&sap=dsp&q={searchTerms}"
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll File not found
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\BabylonToolbarTlbr.dll File not found
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system\Svhost.exe ()
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe File not found
O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\System\Svhost.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll File not found
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Steam\SteamService.exe /RunAsService -- (Steam Client Service)
SRV - File not found [Auto | Stopped] -- C:\Program Files\AVG\AVG10\avgwdsvc.exe -- (avgwd)
SRV - File not found [Auto | Stopped] -- C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe -- (AVGIDSAgent)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\vproiah.sys -- (vproiah)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\gtermddo.sys -- (gtermddo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Komputer zostanie odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, Browsers Protector, DealPly, Deinstalator Strony V9, Download Updater (AOL LLC), DownTango, DownTango Launcher 2.1, McAfee Security Scan Plus, Protected Search 1.1, SFT_Polska Toolbar, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2, Yontoo 1.10.02.

 

3. Google Chrome: wejdź do ustawień i w Rozszerzeniach odinstaluj AVG Secure Search, uTorrentBar.

 

4. Firefox: Wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Zaznacz opcję Pomiń pliki Microsoftu. Dołącz raport utworzony przez AdwCleaner.

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso