Komputer został zablokowany... :(

[sirpsycho9]

Witam,

 

niestety padłem ofiarą dość popularnego jak widzę i bardzo upierdliwego "wirusa". Nie potrafie powiedzieć przy "zwiadzaniu" jakich stron zostałem zaatakowany. Po prostu nagle się pojawił.

 

Od razu przyznam się, że w związku ze swoim charakterem (raptus) zacząłem działać sam z programem ComboFix. Pewnie cośw związku z tym nabroiłem. Później zacząłem czytać i teraz mi trochę głupio... Mimo wszystko mam nadzieję, że mi pomożecie, bo sam na pewno sobie nie dam rady... Poniżej zamieszczam OTL i Extras. Z góry dziękuję za zaiteresowanie.

 

Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

Czy masz log z uruchomienia ComboFix, czyli plik C:\ComboFix.txt?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2510404338-346151608-1400364512-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2510404338-346151608-1400364512-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4:64bit: - HKLM..\Run: [CisPostUninstall] "C:\Users\Ksieg\AppData\Local\Temp\cis5E93.exe" --PostUninstall File not found
O4 - HKU\S-1-5-21-2510404338-346151608-1400364512-1001..\Run: [bOS] C:\BOS\bos.exe ()
 
:Files
C:\BOS
C:\Users\Ksieg\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz ten z ComboFixa (o ile jest).

 

 

 

.

[sirpsycho9]

Nie bardzo wiem jak dołączyć ten LOG z usuwania OTL z punktu 1... Dołączam to co mi się udało. Proszę wybaczyć ale w tej kwestii jestem kompletnym laikiem...

ComboFix.txt

OTL.Txt

[picasso]

Kieruję do zasad działu: KLIK. Był tu post "przypominający", to niemile widziane. Jest wyraźnie napisane, by cierpliwie czekać na swoją kolej. Tam też jest napisane co akceptują zalączniki, czyli tylko rozszerzenie *.TXT, a log z usuwania to format *.LOG, dlatego nie chce się załączyć. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Podarujemy sobie ten log. Nowy skan OTL udawadnia wykonanie zadania. Zaś ComboFix był tu definitywnie niepotrzebnie uruchomiony. Praktycznie nic nie robił.

 

 

---

I kończymy:

 

1. Nie wiem dlaczego, ale z tego samego konta użytkownika jest widoczny teraz szerszy zakres wpisów w starcie. Minimalna poprawka na pusty wpis fabryczny. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2510404338-346151608-1400364512-1000..\Run: [FactoryTest] C:\Windows\Test.bat File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Niejasny status wejść MS Office. Na liście zainstalowanych widzę grupę, która sugerować może że to odpadki:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90120000-0020-0415-0000-0000000FF1CE}" = Pakiet zgodności dla systemu Office 2007
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010

 

Jeśli któryś z wpisów jest już po odinstalowanym, to uruchom to narzędzie: KLIK. Wybierz tryb automatyczny i z listy sprzątnij wejścia Office.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Ksieg\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy, w OTL zastosuj Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi, to m.in. stara Java prowadzi do tej infekcji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{AC76BA86-7AD7-5760-0000-900000000003}" = Japanese Fonts Support For Adobe Reader 9
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera / Firefox) ----> już jest najnowsza

 

 

PS. Gadu-Gadu 10 to ciężki potwór, lubi zasoby systemowe i lubi reklamy. Sugeruję rozważenie lżejszej alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.

[sirpsycho9]

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Ksieg\Desktop\ComboFix.exe /uninstall

 

Zrobiłem wszystko z wyjątkiem punktu 3. Może dlatego, że ComboFixa uruchamiałem z pendriva.

 

W każdym bądź razie bardzo dziękuję. Komputer działa OK.

 

Pozdrawiam,

 

A.

[picasso]

Zrobiłem wszystko z wyjątkiem punktu 3. Może dlatego, że ComboFixa uruchamiałem z pendriva.

 

To oznacza, że m.in. nie odbyło się tu istotne czyszczenie folderów Przywracania systemu. Pobierz ComboFix na Pulpit i ponów komendę.

 

 

 

.