cziken Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Witam, po uruchomieniu komputera na ekranie pojawia się kominukat następującej treści: "Your computer has been locked by law (...)" Nim dotarłem do tego serwisu został wykonany log w Combofix. Następnie już przy użyciu OTL oraz GMER. Wszystkie logi załączone w poście. Dziękuję za pomoc Extras.Txt Gmer.txt log Combofix.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" IE - HKU\S-1-5-21-3528662731-480313372-4151236620-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" IE - HKU\S-1-5-21-3528662731-480313372-4151236620-1000\..\SearchScopes\{26C3CC30-CE98-4E06-948E-B1682BFB27A9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e8784d90-8666-11e1-8f4b-001e685d3713&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" [2012-04-14 21:21:22 | 000,000,792 | ---- | M] () -- C:\Users\cziken\AppData\Roaming\Mozilla\Firefox\Profiles\smu426ow.default\searchplugins\startsear.xml [2012-04-14 21:21:33 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{c638d4b2-5ae5-d27b-b82b-809d5193acee} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (extrafind) - {63e8ff83-293b-51e1-17b8-d8f4c309bc3d} - C:\Windows\system32\ff6ece88.dll File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [Dozymoqe] C:\Users\cziken\AppData\Roaming\Soeh\cuze.exe File not found O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [Ozitge] C:\Users\cziken\AppData\Roaming\Touzak\ibez.exe File not found O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [uIAutomationCore] C:\Users\cziken\AppData\Local\Microsoft\Windows\2247\UIAutomationCore.exe () :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\cziken\AppData\Roaming\hellomoto C:\Users\cziken\AppData\Roaming\Toubin C:\Users\cziken\AppData\Roaming\Keme C:\Users\cziken\AppData\Roaming\Wyunow C:\Users\cziken\AppData\Roaming\Icax C:\Users\cziken\AppData\Roaming\Soeh C:\Users\cziken\AppData\Roaming\Agyvov C:\Users\cziken\AppData\Roaming\Touzak C:\Users\cziken\AppData\Local\Microsoft\Windows\2247 :Services Application Updater :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{25DA79D5-B857-4B56-A1F8-76403A78F242}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Contextual Tool Extrafind / Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
cziken Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Podczas próby odinstalacji YouTube Downloader v6.0 pojawiał się następujący kominukat: "Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli Instalator Windows jest niepoprawnie zainstalowany. (...)" OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Mimo wszystko wygląda na to, że się udało usunąć wymagane rzeczy i infekcja też usunięta. Możesz przejść do kroków końcowych: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\users\cziken\Downloads\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system instalując Service Pack 1 oraz Service Pack 2 + wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16982) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 33 Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
cziken Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Dziękuję bardzo za pomoc i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi