Strikeforce18 Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Witam Mam problem właśnie z tym wirusem, żądają 300zł podając się za policje, tak jak w wielu przypadkach tylko, że ja mogę włączyć komputer i normalnie na nim działać ale już internetu nie mogę włączyć bo mi go blokuje. Próbowałem z nim walczyć przez skanowanie antywirusem(Ashampoo Anti-Malware) ale nic to nie dało. Proszę o pomoc w związku z tym problem. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Gadzio\AppData\Roaming\svchost.exe C:\Users\Gadzio\AppData\Roaming\rundll32.exe C:\Users\Gadzio\AppData\Roaming\csrss.exe C:\Users\Gadzio\dognymiwagil.exe C:\Users\Gadzio\AppData\Roaming\Babylon C:\Users\Gadzio\AppData\Roaming\Cioh C:\Users\Gadzio\AppData\Roaming\Edivok C:\Users\Gadzio\AppData\Roaming\Feaqi C:\Users\Gadzio\AppData\Roaming\Giveor C:\Users\Gadzio\AppData\Roaming\Imcazi C:\Users\Gadzio\AppData\Roaming\Irun C:\Users\Gadzio\AppData\Roaming\Ubep C:\Users\Gadzio\AppData\Roaming\Xatu C:\Users\Gadzio\AppData\Roaming\Zayti C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml netsh advfirewall reset /C :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110809&tt=3312_2&babsrc=SP_ss&mntrId=2479033a000000000000000000000000" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-4016191852-2622321514-1773976110-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [NPSStartup] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj Yontoo 1.10.02. - Google Chrome: W Rozszerzeniach odmontuj uTorrentControl2. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. Z listy stron startowych wymaż search.babylon.com. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
Strikeforce18 Opublikowano 31 Października 2012 Autor Zgłoś Udostępnij Opublikowano 31 Października 2012 Dzięki AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 Nie wygląda na to byś wykonał to: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otóż akcja ta została zadana przed uruchomieniem AdwCleaner, powoduje ona stworzenie nowych czystych preferencji Firefox. A co jest w logu z AdwCleaner? Usuwanie adware z preferencji Firefox. To nie powinno mieć miejsca po zresetowaniu programu. Dodatkowo, w logu nie widać na Pulpicie utworzenia folderu "Stare dane programu Firefox", który pojawia się po resecie. Tak więc: czy to robiłeś czy nie? . Odnośnik do komentarza
Strikeforce18 Opublikowano 31 Października 2012 Autor Zgłoś Udostępnij Opublikowano 31 Października 2012 Wchodze w to ale nie widze tam czegoś takiego jak "Zresetuj program Firefox" Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 Który Firefox uruchamiasz? Wg OTL są zainstalowane dwa: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)"Mozilla Firefox 14.0.1 (x86 en-US)" = Mozilla Firefox 14.0.1 (x86 en-US) Przy czym inne wpisy mówią, że ten okropnie stary jest na D:, a nowszy na C: FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012-08-08 14:23:39 | 000,000,000 | ---D | M]FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\pluginsFF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: D:\programy\firefox\components [2012-09-01 16:28:14 | 000,000,000 | ---D | M]FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: D:\programy\firefox\plugins [2012-08-08 14:16:55 | 000,000,000 | ---D | M] Jeśli Ty uruchamiasz ten z D, to nie licz na to. Funkcja Resetuj jest cechą Firefox 13 i w górę. Druga sprawa: Firefox 3.6 powinien ekstracugiem wylecieć z dysku, jest to wersja archaiczna, zupełnie niewspierana i niezabezpieczona (przestano wydawać łaty, bo wersję wycofano ze wsparcia). . Odnośnik do komentarza
Strikeforce18 Opublikowano 6 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2012 Przepraszam, że tak długo nie pisałem ale nie było mnie w domu na święta. I co się okazuje jak przyjeżdżam? Że wyskoczyło to znowu i to dzisiaj z pół godziny temu...Satrego firefoxa usunąłem i zaktualizowałem nowego jescze przed wyjazdem, a teraz go zresetowałem. Załączam logi zrobione dosłownie 5 minut temu. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Listopada 2012 Zgłoś Udostępnij Opublikowano 7 Listopada 2012 Log z OTL nieprawidłowo utworzony, ustawiłeś opcję Rejestr na Wszystko, a ma być Użyj filtrowania. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad :OTL CHR - Extension: uTorrentControl2 = C:\Users\Gadzio\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.15.10_0\ :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log OTL z opcji Skanuj i przypominam: Użyj filtrowania. Pliku Extras po raz drugi mi nie dołączaj. . Odnośnik do komentarza
Strikeforce18 Opublikowano 7 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 7 Listopada 2012 Niewiem czemu drugi raz mi to wyskoczyło? Może przez antywirus? Możesz mi doradzić jak się uchronić przed ty problemem? A te stare dane programu firefox to mam je usunąć czy moge je "wkleić" do przeglądarki bo miałem tam sporo zapisanych haseł oraz stron? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Listopada 2012 Zgłoś Udostępnij Opublikowano 7 Listopada 2012 Niewiem czemu drugi raz mi to wyskoczyło? Może przez antywirus? Możesz mi doradzić jak się uchronić przed ty problemem? Dyskusja o tej infekcji: KLIK. A te stare dane programu firefox to mam je usunąć czy moge je "wkleić" do przeglądarki bo miałem tam sporo zapisanych haseł oraz stron? Przecież po to był właśnie reset, by wyczyścić Firefox z adware. Reset tworzy "Stare dane programu Firefox", które są już do wyrzucenia a nie do wstawiania na powrót (to zniszczy cały reset). Jak działa reset: KLIK. Zakładki i hasła są zachowane po resecie, nadal je masz, ale już na czystym nowym profilu Firefox. Zadania wykonane i przechodzimy do wykończeń: 1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows i poniżej wyliczone aplikacje: KLIK. Wg Twojego raportu są tu wersje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"{BB21B808-F784-4883-A4D4-B1473384C1C6}" = LibreOffice 3.5"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () Windows zupełnie nieaktualizowany (brak SP1+IE9), stara 32-bitowa Java 6 Update 31 do wyrzucenia, Adobe do zastąpienia najnowszymi wersjami, LibreOffice do aktualizacji. PS. Widzę też Gadu-Gadu 10. Program zasobożerny i ciężki. Poczytaj o alternatywach z obsługą sieci Gadu, mniej dręczących zasoby: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
Strikeforce18 Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Kolejny raz zablokowało mi się i niewiem co może byc tego przyczyną... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 (edytowane) Przyczyna: wszedłeś znów na jakąś stronę, która serwuje tego trojana. Nie masz zainstalowanej żadnej ochrony, a aktualizacji pewnie nie zdążyłeś ruszyć palcem. Cóż, powtarzamy; 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Gadzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Edytowane 14 Grudnia 2012 przez picasso 14.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi