darekpiecz Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Witam wszystkich! Dzisiaj mój komputer został zablokowany przez program, który żąda ode mnie opłaty przez UKASH. Widzę, że na tym forum są życzliwi ludzie i pomagają w potrzebie. Doczytałem co to może być i załączam pliki z logami. Poproszę o sprawdzenie i poradę co z tym fantem zrobić. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-108274371-839382345-575637087-1001..\Run: [0i763f66bz] C:\Users\Kalina\0i763f66bz.exe (DeLOCK) FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120306&user_guid=58DF852C635F481EAEFBC162E4C0520D&machine_id=8eb78d4963a8a112913244b780f114a8&browser=FF&os=win&os_version=6.1-x64-SP1&q=" IE - HKU\S-1-5-21-108274371-839382345-575637087-1001\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120306&user_guid=58DF852C635F481EAEFBC162E4C0520D&machine_id=8eb78d4963a8a112913244b780f114a8&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}" IE - HKU\S-1-5-21-108274371-839382345-575637087-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear" IE - HKU\S-1-5-21-108274371-839382345-575637087-1001\..\SearchScopes\{F2B04870-B4DE-43F8-900E-060EEBD2682D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=kw&q={searchTerms}&locale=&apn_ptnrs=F4&apn_dtid=YYYYYYYYPL&apn_uid=0e589253-edcd-4c6b-ad69-939884675e5e&apn_sauid=8D0C2C3F-2DF3-4292-9100-B539D496CF51" :Files C:\Users\Kalina\AppData\Roaming\hellomoto C:\Users\Kalina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Uninstall Security Shield.lnk C:\Users\Kalina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Shield.lnk C:\Users\Kalina\AppData\Roaming\Mozilla\Firefox\Profiles\ey8ushui.default\searchplugins\askcom.xml C:\Users\Kalina\AppData\Roaming\Mozilla\Firefox\Profiles\ey8ushui.default\searchplugins\yahoo-zugo.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{8DFF91F8-C607-4D94-B272-81B90D7577EA}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware StartNow Toolbar. Otwórz Firefox i w Dodatkach powtórz usuwanie tego samego. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
darekpiecz Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Nie wiem, czy to w czymś przeszkodzi, ale zakładam, że może trochę zmienić. Mianowicie uruchomiłem program mbam i usunąłem nim kilka plików. obecnie jestem w trakcie skanowania ponownego tyle, że tym razem takie wolniejsze skanowanie dokładne i znalazł mi już kolejny plik zainfekowany. Może - jeśli usunięcie tych plików nie pomoże, to wygeneruję nowe logi i je prześlę - nie chciałbym narobić niepotrzebnego bałaganu i niepotrzebnie zawracać Ci głowę. Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Wątpliwe, by MBAM zadedykował wszystko co podałam (jest tu prowadzone więcej niż może ten program), a sam skan to ledwie połowa operacji. Tak więc po skanie proszę przedstaw raport z MBAM, a ja ew. dopasuję instrukcje powyżejj. Odnośnik do komentarza
darekpiecz Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Zdecydowanie masz rację, MBAM usunął kilka plików ale nie pomógł, nadal mam blokadę. NIe wiem gdzie zapisał mi się raport z MBAM i dlatego OTL-em ponownie wygenerowałem logi, załączam je do wiadomości i proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Czy na pewno blokada nadal ma miejsce? Wygląda na to, że uruchamiałeś skrypt do OTL, ponieważ większość rzeczy już zniknęła. Po usuwaniu zregenerował się jednak ten folder poboczny infekcji (przez SHIFT+DEL skasuj): [2012-07-19 20:40:28 | 000,000,000 | ---D | C] -- C:\Users\Kalina\AppData\Roaming\hellomoto Ale nie wykonałeś tych punktów: 2. Przez Panel sterowania odinstaluj adware StartNow Toolbar. Otwórz Firefox i w Dodatkach powtórz usuwanie tego samego. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. . Odnośnik do komentarza
darekpiecz Opublikowano 22 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Serdecznie dziękuję wszystkim zaangażowanym w pomoc mi. Poradziłem sobie w sposób ostateczny - format dysku. Na szczęście na tym komputerze nie mam zbyt wielu programów i mogłem to bez problemy zrobić. Jeszcz raz dziękuję za zaangażowanie i chęć pomocy. Odnośnik do komentarza
Rekomendowane odpowiedzi