rockerasg Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Jak w temacie. Trafiło to w końcu i na mnie Prosze o pomoc. Po wystartowaniu pojawia się piękna plansza z informacją o zablokowaniu komputera z prośbą o dokonanie "drobnego" przelewu w wysokości 300 zł..... Tryb awaryjny działa oto pliki z OLT. Ps. czy jest jakiś anty virek który potrafi to wykryć i zabezpieczyć kom przed kolejną taką niespodzianką ?? Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Log z OTL nieprawidłowo zrobiony, sekcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Tu nie tylko ta blokada jest, również dodatkowa infekcja winbch32.rom oraz adware ... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{807FC1E6-CF7E-4B46-B5A0-A988A18689CA}: "URL" = "http://home.allgameshome.com/results.php?category=web&s={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{aa91a22e-2e6d-4c79-a578-d50109b651aa}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm138YYPL&ptb=640D8804-CA46-49AC-A6C6-504E0F5D7252&psa=&ind=2010072201&ptnrS=ZVxdm138YYPL&si=gua253401&st=sb&n=77cf4489&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66019" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={E882A7F1-A5C2-493D-926B-5696F78856AF}&mid=8df29cc677279d21ce6a436e3c0a6bb8-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2012-06-05 22:41:27&v=12.2.5.32&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://home.allgameshome.com/results.php?category=web&s={searchTerms}" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=418&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{aa91a22e-2e6d-4c79-a578-d50109b651aa}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm138YYPL&ptb=640D8804-CA46-49AC-A6C6-504E0F5D7252&psa=&ind=2010072201&ptnrS=ZVxdm138YYPL&si=gua253401&st=sb&n=77cf4489&searchfor={searchTerms}" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260204252769594" IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [mumservice] C:\Program Files\Motorola\Software Update\mumservice.exe File not found O4 - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000..\Run: [GameTracker] C:\Program Files (x86)\GameTracker\GTLite.exe File not found O4 - HKU\S-1-5-21-1534814987-2836956054-2328687305-1000..\Run: [MSSMSGS] C:\Windows\SysWow64\winbch32.rom () :Files C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\admin\AppData\Roaming\3392.4D3 C:\Users\admin\AppData\Roaming\mozilla\firefox\profiles\iv84ogkw.default\searchplugins\Search_Results.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml C:\Users\admin\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolejne działania prowadzisz już w Trybie normalnym: 2. Przez Panel sterowania odinstaluj adware DealPly, iLivid, IWON, McAfee Security Scan Plus, Searchqu Toolbar. Otwórz Firefox i w Dodatkach odinstaluj DataMngr, Searchqu Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutek uboczny uruchomienia: AdwCleaner usunie AVG Security Toolbar, traktuje to jako sponsora (owszem, tak jest). 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), przypominam o Użyj filtrowania. Dołącz log z usuwania AdwCleaner z punktu 3. Ps. czy jest jakiś anty virek który potrafi to wykryć i zabezpieczyć kom przed kolejną taką niespodzianką ?? Dyskusja na temat tej infekcji: KLIK. . Odnośnik do komentarza
sam Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Z tego co wiem to ten wirus działa tak jak wszystkie od razu jak dostanie się do kompa więc antywirus musiałby mieć bardzo mocny tryb ochrony przy przeglądaniu sieci żeby blokować od razu samo ściągnięcie jego a z tym jest raczej problem bo takiego nie ma żeby blokował wszystko. Kaspersky jest dobry pod względem monitorowania z tego co pamiętam jednak czy ochroni przed ściągnięciem to raczej niekoniecznie Odnośnik do komentarza
rockerasg Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 No to edytuję . Oto plik z adwclinera - nie zwróciłem uwagi gdzie go wcześniej zapisało :/ oraz nowy plik z OLT-eka Wydaje mi się że wtedy wszystko zaznaczyłem tak jak napisałaś -ale widocznie sie mylę - teraz jestem pewien że zaznaczyłem tak jak napisałaś. AdwCleanerR1.txt OTLa.Txt Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Niesety nie potrafię usunąć tych dodatków w Firefoxie bo mi ich nie pokazuje w żadnej zakładce Albo ogólna deinstalacja śmieci wyrwała to i z Firefox, albo usunął to AdwCleaner. Tego drugiego potwierdzić nie mogę, bo brak raportu: Ps. pliku z adwclinera - nie mogę dodać - ma rozszerzenie .log i nie chce się wkleić ;/ Coś tu kręcisz Raport z AdwCleaner nie ma rozszerzenia *.LOG tylko *.TXT, to raport z usuwania OTL ma takie rozszerzenie. Tak więc proszę o dołączenie tego loga AdwCleaner w poście powyżej. Poza tym, proszę o poprawny log z OTL, czyż nie mówiłam: Log z OTL nieprawidłowo zrobiony, sekcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania.(...) 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), przypominam o Użyj filtrowania. Czyli: robisz nowy poprawnie skonfigurowany log z OTL i wymieniasz załączniki w powyższym poście, a ja tu zedytuję swój post, podając kolejne instrukcje. . Odnośnik do komentarza
rockerasg Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 z edytowałem - ale chyba się nie wyświetliła informacja o zmianie posta. Więc się przypominam ale nie nalegam Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Zadania pomyślnie wykonane, zostały poprawki i kończymy. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{88C7F2AA-F93F-432C-8F0E-B7D85967A527}"=- "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ROC_roc_dec12"=- "vProt"=- :Files netsh advfirewall reset /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Odinstaluj też przestarzały Spybot - Search & Destroy. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log pokazuje, że masz zainstalowane następujące wersje: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Basic)"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Skrót akcje: wszystkie zakreślone pozycje Adobe, Java i Silverlight odinstaluj przed instalacją najnowszych wersji. Zaktualizuj przeglądarki IE i Firefox oraz pakiet Office. PS. Widzę też tu zasobożernego reklamodawczego potwora Gadu-Gadu 10. Obejrzyj sobie alternatywne propozycje z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi