Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus "policyjny" zablokował komputer

olikak

Przez olikak
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

olikak

olikak

Opublikowano
Opublikowano

Witam, padłam kolejną ofiarą wirusa "policyjnego" - przy przeglądaniu Internetu pojawiło się okno na cały ekran o blokadzie komputera, opłacie + przechwycenie kamerki internetowej.

Po ponownym uruchomieniu system wstał w normalnym trybie, więc próbowałam od razu wykonać logi z OTL - udało się, a kolejno log z GMERA - gmer przeskanował i znalazł rootkita o czym poinformował na czerwono, niestety nie mogłam otworzyć żadnego programu, w którym mogłabym zapisać log i komputer ostatecznie wyłączył się.

Potem nie można juz było uruchomić normalnie systemu. Wszystko powyższe działo się na koncie uzytkownika "OLA", które w normalym trybie ma również uprawnienia administratora.

 

Niestety od tego momentu system uruchamia się tylko w trybie awaryjnym i tylko na koncie "ADMINISTRATOR" (na koncie "OLA" w trybie awaryjnym system nie chce wstać - zamyka się i uruchamia ponownie).

W związku z czym w trybie awaryjnym na koncie "ADMINISTRATOR" wykonałam ponownie logi z OTL, które załączam. GMERA na wszelki wypadek na razie nie próbuję, chyba, że mi powiecie, że mam to zrobić.

 

Bardzo proszę o pomoc, gdyż na tym nieszczęsnym koncie "OLA", do którego teraz nie mogę nijak się dostać, mam bardzo potrzebne pliki do pracy:(

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Niestety od tego momentu system uruchamia się tylko w trybie awaryjnym i tylko na koncie "ADMINISTRATOR" (na koncie "OLA" w trybie awaryjnym system nie chce wstać - zamyka się i uruchamia ponownie).

W związku z czym w trybie awaryjnym na koncie "ADMINISTRATOR" wykonałam ponownie logi z OTL, które załączam.

 

Niestety, ale logi z konta Administrator są bezużyteczne, muszą pochodzić z konta Ola, bo na nim działa infekcja. Konta mają inne rejestry i foldery, infekcja nie jest widzialna między kontami.

 

Przenieś OTL.exe z Pulpitu wprost na dysk C:\. Wyloguj się z konta Administrator. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia logując się na konto zasadnicze Ola, w linii komend wpisz C:\OTL.exe i ENTER, opcję "Rejestr - skan dodatkowy" przestaw z Brak na Użyj filtrowania, klik w Skanuj. Dostarcz logi.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. W Trybie awaryjnym z obsługą Wiersza polecenia na koncie Ola uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
:Files
C:\Documents and Settings\Aleksandra\Dane aplikacji\skype.dat
C:\Documents and Settings\Aleksandra\Dane aplikacji\skype.ini
 
:OTL
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O15 - HKCU\..Trusted Domains: com.pl ([mks] http in Trusted sites)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DDMI2.sys -- (SDDMI2)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, system powinien zostać odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Odnośnik do komentarza
olikak

olikak

Opublikowano
  • Autor
Opublikowano

ok, tylko jak mam to zrobić technicznie, kiedy w trybie awaryjnym z wierszem poleceniem nie widzę menu start ani mojego komputera, gdzie mogłabym sobie zapisać ten skrypt w jakimś .txt i potem wkleić?:/

przepraszam za zapewne głupie pytanie:/

 

już wiem!

 

wszystko odbyło się zgodnie z opisem,

 

w załączeniu log z OTL już z normalnego trybu konta Ola.

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Skleiłam te trzy posty w jedno.

 

Sprawa rozwiązana, wykonaj czynności końcowe:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare wersje Adobe i Java, zaktualizuj resztę wyliczonych poniżej programów: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.5)
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007
"FileZilla Client" = FileZilla Client 3.5.3
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()

 

PS. Widzę jeszcze u Ciebie stare Nowe Gadu-Gadu. Zainteresuj się alternatywnymi komunikatorami: WTW, Kadu, Miranda, AQQ: KLIK.

 

 

.

Odnośnik do komentarza
olikak

olikak

Opublikowano
  • Autor
Opublikowano

Dziękuję za fachową i bardzo szybką pomoc!

 

Punkt 1 i 2 już wykonałam rano.

 

W pkt. 3 na razie utknęłam na WIndows Update - wersja XP nie jest legalna (niestety legalna Vista zakupiona z komputerem była nie do przeżycia i zastąpiona została tym XP) - czy można jakoś pobrać aktualizacje na Service Pack 3 mimo wszystko? Windows Update w pierwszym kroku chce sprawdzić legalność oprogramowania, a wiem, że tego nie przejdę.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie mogę tu podać żadnych metod obchodzących walidację legalności na Windows Update. Aktualizacje są owszem możliwe okrężnymi drogami, ale to nie jest aż tak precyzyjne i nie gwarantuje wierności Windows Update, trochę trzeba się też napracować, by ręcznie pościągać łaty, a niektóre ręcznie pobierane też mają walidację. Ale lepsze to niż pozostawienie Windows w stanie z SP3 bez żadnych łat późniejszych. Ściąganie łat można wykonać np. za pomocą Autopatcher.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...