Skocz do zawartości
LightMoon

Policyjna blokada - Weelsof

Rekomendowane odpowiedzi

Jak każdego i mnie również zaatakował ten wirus. Jednak nie da się w ogóle włączyć pulpitu. Zaraz po odpaleniu komputera wyskakuje wirus. Z tego co wyczytałam najlepiej byłoby zamieścić plik OTL.txt jednakże nie znam się na tym. Czy mógłby ktoś pokierować mnie krok po kroku jak pozbyć się tego wirusa?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Mam w profilu zaznaczone: nie udzielam pomocy przez PW, to oznacza także "przypominanie" o temacie. Zacznij od przeczytania zasad działu, a stanie się jasne czego wymagam do prowadzenia tematu: KLIK.

 

Komputer zablokowany, toteż start w Trybie awaryjnym, logowanie na właściwe konto, na którym ujawnia się infekcja i stworzenie raportów do oceny.

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Przy uruchamianiu komputera w zwykłym trybie awaryjnym resetuje się on, a następnie odpala w zwykłym trybie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

LightMoon, czy Ty w ogóle przeczytałeś podany link do zasad działu? Przecież tam jest wszystko, przekierowanie na instrukcje tworzenia raportów...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak, jednakże nie mam możliwości włączenia komputera do wykonania tego raportu, gdyż w trybie awaryjnym resetuje się on i przełącza na tryb normalny a w tym odrazu na blokadę

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale dlaczego uruchamiałeś ComboFix?! Nie zadawałam tego, a o samym ComboFix dlaczego nie uruchamia się go ot tak: KLIK. ComboFix tu nie był potrzebny, nie załatwił też spraw do końca, i tak wymagane dalsze czyszczenie. Na przyszłość: proszę się trzymać ściśle instrukcji, nie uruchamiać aplikacji nie wskazanych i nie kombinować na własną rękę w trakcie leczenia.

 

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Conduit Engine, McAfee Security Scan Plus, Softonic-Polska Toolbar, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, V9 Homepage Uninstaller, Veoh Web Player Toolbar.

 

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" usuń z listy stron startowych home.sweetim.com i ustaw opcję "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń SweetIM Search z listy. W Rozszerzeniach odinstaluj SweetIM for Facebook, SweetPacks Chrome Extension. Wyczyść Historię.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Jola\AppData\Roaming\skype.ini
C:\Windows\os4.exe
C:\Windows\zlib1.dll
C:\Windows\Last.dat
C:\Windows\memlist.dat
C:\Windows\Language.dat
C:\Windows\test.dat
C:\Users\Jola\AppData\Roaming\YourFileDownloader
C:\Users\Jola\AppData\Roaming\1334
C:\Users\Jola\AppData\Roaming\ExpressFiles
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\prefs.js
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\searchplugins\conduit.xml
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={BF0A05A9-2ADC-11E2-A212-00FF01000001}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={24231CBB-7950-4A36-B63B-0093F9F9C395}&mid=16be38ee70bb47d69b36d16b5f0b7a34-a8747fb044d73eb4f9d5b2d3ce65612c886d78c8&lang=pl&ds=AVG&pr=fr&d=2010-01-11 19:29:28&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={BF0A05A9-2ADC-11E2-A212-00FF01000001}"
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Uwaga: w skrypcie resetuję preferencje Firefox przejęte przez adware via usunięcie pliku prefs.js. To oznacza reset ustawień Firefox do postaci domyślnej.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Przepraszam za zamieszanie ale ja nadal nie mogę korzystać z pulpitu. W jaki sposób otworzyć panel? Muszę jeszcze raz zresetować komputer aby odpalić w trybie awaryjnym z linią komend??

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale przecież użyłeś ComboFix, który skasował plik infekcji c:\users\Jola\AppData\Roaming\skype.dat. W podanym tu logu z OTL nie ma już wpisu ładowania tej infekcji odnoszącego się do skype.dat. Blokady więc nie powinno być. Co tu się więc dzieje?

 

A deinstalacje muszą się odbyć z poziomu Trybu normalnego a nie awaryjnego.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Po kolejnym resecie komputer się odpalił jednak nie posiadam całej zawartości pulpitu, która jest mi bardzo potrzebna i czy jest możliwość odzyskania tych plików, oraz wyskakuje błąd Program Exploator Windows przestał działać i odświeża co chwile przez to pulpit komputera. Nie mogę też używać opcji z Start z tego powodu i odpalić Panelu Sterowania.

 

Po kilku próbach pulpit i jego zawartość się pojawiła jednak nadal nie mogę odpalić Panelu sterowania aby usunąć programy

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Błąd "Program Explorator przestał działać" zamyka powłokę explorer.exe, dlatego jest goły Pulpit. Błąd ten raczej nie jest wynikiem infekcji tylko czego innego (przypuszczalnie wadliwe rozszerzenie powłoki czy kodeki). Potrzebne dane na temat tego błędu:

 

Na gołym Pulpicie uruchom menedżer zadań przez sekwencję klawiszy CTRL+SHIFT+ESC. Z menu Plik > Nowe zadanie > wskaż C:\Windows\system32\eventvwr.msc, co uruchomi Dziennik zdarzeń. Przeszukaj go pod kątem tego błędu explorer.exe, pobierz Właściwości znalezionego błędu i przeklej tu szczegóły.

 

 

Nie mogę też używać opcji z Start z tego powodu i odpalić Panelu Sterowania.

 

Jak pokazuję powyżej, przez Menedżer zadań i funkcję Nowe zadanie można odpalić różne rzeczy. Na razie to zostaw, bo analizujemy błąd explorer.exe.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Explorer:

 

System Windows nie może uzyskać dostępu do pliku C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Eksplorator Windows z powodu tego błędu.

 

Program: Eksplorator Windows

Plik: C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

 

Wartość błędu jest wyświetlona w sekcji Dodatkowe dane.

Akcja użytkownika

1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu.

2. Jeśli nadal nie można uzyskać dostępu do pliku i

- jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią i czy można skontaktować się z serwerem.

- jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera.

3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz polecenie CHKDSK /F, a następnie naciśnij klawisz ENTER.

4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej.

5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem komputera lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc.

 

Dodatkowe dane

Wartość błędu: C0000185

Typ dysku: 3

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Błąd pokazuje, że jest problem z buforem miniatur:

 

System Windows nie może uzyskać dostępu do pliku C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Eksplorator Windows z powodu tego błędu.

 

Program: Eksplorator Windows

Plik: C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

 

Zanim podam działania korekcyjne, na początek podaj mi spis plików buforującym miniatury:

 

1. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz komendę:

 

dir /a C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer >C:\log.txt

 

2. Na dysku C powstanie plik C:\log.txt. Dołącz go tutaj.

 

 

.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Przepraszam, że to wszystko tyle trwa ale komputer się strasznie zawiesza przez to i nie szło zapisać tego dokumentu a później odpalić z dysku c żeby móc wysłać

 

 Wolumin w stacji C to OS

Numer seryjny woluminu: 62B2-9CA6

 

Katalog: c:\users\jola\appdata\local\microsoft\windows\explorer

 

2012-11-12 08:01 <DIR> .

2012-11-12 08:01 <DIR> ..

2011-02-22 14:30 32˙768 ExplorerStartupLog.etl

2013-01-28 19:44 16˙384 ExplorerStartupLog_RunOnce.etl

2012-11-11 22:42 174˙063˙616 thumbcache_1024.db

2012-11-11 22:42 40˙894˙464 thumbcache_256.db

2012-11-11 22:42 9˙437˙184 thumbcache_32.db

2013-01-13 22:37 222˙298˙112 thumbcache_96.db

2013-01-03 19:58 413˙720 thumbcache_idx.db

2012-11-11 22:42 24 thumbcache_sr.db

8 plik(˘w) 447˙156˙272 bajt˘w

2 katalog(˘w) 121˙844˙023˙296 bajt˘w wolnych

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Na początek wykonaj te działania:

 

1. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz komendę chkdsk /f /r i ENTER. Zresetuj system. Przy starcie wykona się sprawdzanie dysku.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db

 

Klik w Unlock.

 

3. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz te komendy (po każdej ENTER):

 

cd C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer

del /q thumbcache*

 

4. Zastartuj do Trybu normalnego. Jeśli błąd eksploratora ustąpi, to wykonaj wszystkie akcje zalecone przeze mnie w poście numer #8.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

To oznacza, że punkt 2 z GrantPerms nie został wykonany poprawnie lub narzędzie nie dało rady zresetować uprawnień. W związku z tym start do Trybu awaryjnego, otwórz folder C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer i ręcznie zresetuj uprawnienia wszystkich plików thumbcache* bazując na instrukcjach: KLIK. Dopiero po tym ponów komendy z punktu 3.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale czy Ty to sprawdzanie dysku poprzednio ukończyłeś i nie było przerwane w żaden sposób?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wcześniej niczego nie przerywałam. Ale trwało to o wiele krócej. Póki co jest na etapie 4 z 5 i sprawdza plik 115000/350000 (14%)

 

Które AdwCleaner mam ściągnąć i wykorzystać?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jak to "które"? Jest tylko jeden AdwCleaner. W temacie, do którego linkuję, jest podana strona skąd się pobiera.

 

Czy to pytanie oznacza, że błąd eksploratora został rozwiązany? Czy sprawdzanie dysku nie uruchamia się już samoczynnie przy starcie systemu?

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak, problem exploatora został rozwiązany. Nie wyskakuje już żaden błąd. Dziękuję pani bardzo za cierpliwość :). To już pobieram tego cleanera :)

 

Wszystkie zadania z postu #8 zostały wykonane.

AdwCleanerS1.txt

OTL.Txt

Edytowane przez LightMoon

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko zrobione, tylko drobne poprawki na szczątki (w typ po pasku AVG):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found
O3 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\Toolbar\WebBrowser: (no name) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - No CLSID value found.
O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found
SRV - [2011-05-30 10:33:54 | 001,025,352 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
SRV - [2013-01-25 06:35:17 | 000,945,328 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe -- (vToolbarUpdater14.0.1)
DRV:64bit: - [2013-01-25 06:35:18 | 000,037,720 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)
 
:Files
C:\Users\Jola\uidsave.dat
C:\Windows\DeleteOnReboot.bat
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Program Files (x86)\AVG\AVG10
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom Firefox i poustawiaj w nim pożądane opcje.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...