patrycha90 Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Dzisiaj na moim komputerze pojawił się znany już chyba wszystkim tutaj komunikat o zablokowaniu komputera przez policję. Znalazłam instrukcję ręcznego usunięcia pliku, który sprawia, że wirus się odpala. Odpaliłam kompa w trybie awaryjnym z wierszem polecenia. Ale nic nie zdążyłam zrobić - po kilku sekundach wyskakuje komunikat "wystąpił krytyczny błąd, system zostanie zamknięty za minutę". I po minucie komputer sie restartuje. To samo dzieje się, kiedy odpalam zwykły tryb awaryjny i próbuję użyć ComboFix. W minutę nie zdążę zrobić nic! Na żadnym forum nie znalazłam tematu z podobnym problemem. Moja wiedza o komputerach ogranicza się do włączenia go i ewentualnej instalacji potrzebnych programów, więc nie wiem co robić. Bardzo proszę o pomoc, zaczyna brakować mi cierpliwości. Odnośnik do komentarza
patrycha90 Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Jakimś cudem przy użyciu OTL komputer wytrzymał. Załączam pliki. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Niestety oprócz "Ukash" jest znacznie gorszy trojan - ZeroAccess. Wykonaj log dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. Odnośnik do komentarza
patrycha90 Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 No to fajnie. SystemLook 30.07.11 by jpshortstuff Log created at 12:11 on 28/07/2012 by klient Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shell32.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 5DC3C54FC22BBB6F66C290C7C0384DF9 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 (edytowane) 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKLM\..\SearchScopes\{6BF0E0C4-448A-46CA-8F61-9DA763AF9946}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100888&mntrId=2e3a4eec0000000000000025d36d3f06" IE - HKCU\..\SearchScopes\{6BF0E0C4-448A-46CA-8F61-9DA763AF9946}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d14d5080-1879-11e1-9b7b-0026187ffe97&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "uTorrentBar Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-07-16 23:06:52 | 000,000,925 | ---- | M] () -- C:\Users\klient\AppData\Roaming\Mozilla\Firefox\Profiles\mv2tsax9.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\klient\AppData\Roaming\Mozilla\Firefox\Profiles\mv2tsax9.default\searchplugins\startsear.xml [2011-10-27 13:02:22 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [DisableS3S4] c:\DisableS3S4.cmd File not found O4 - HKCU..\Run: [MS Sound Drivers] C:\Users\klient\AppData\Local\Temp\CrackUpdater.exe (oCOQxuJnJYDwstukiwEOEDy) O4 - HKCU..\Run: [nq0acs91] C:\Users\klient\AppData\Roaming\nq0acs91.exe () O4 - HKCU..\Run: [udmwhkqscmmbzgc] C:\ProgramData\udmwhkqs.exe () O4 - Startup: C:\Users\klient\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ov3csp84.exe () F3 - HKCU WinNT: Load - (C:\Users\klient\LOCALS~1\Temp\mseyck.exe) - C:\Users\klient\LOCALS~1\Temp\mseyck.exe () O33 - MountPoints2\{44c71db6-3dee-11e1-afcd-0026187ffe97}\Shell\AutoRun\command - "" = 2ul.exe O33 - MountPoints2\{44c71db6-3dee-11e1-afcd-0026187ffe97}\Shell\open\Command - "" = 2ul.exe :Files C:\ProgramData\pqgapxyachfakcx C:\ProgramData\wmcvicwfuyobfzf C:\Users\klient\ms.exe C:\Users\klient\AppData\Local\{222e3183-402f-b9f0-a3b9-2ea58695ce28} C:\Windows\Installer\{222e3183-402f-b9f0-a3b9-2ea58695ce28} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: VshareComplete / DealPly / Babylon toolbar on IE / uTorrentBar Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / Babylon / DealPly / VshareComplete / vShare.tv 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Edytowane 28 Sierpnia 2012 przez picasso 28.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi