black524 Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 Witam, mam zablokowany komputer przez wirus. Wyświetla się chwilę po włączeniu. Podaję się za policję, która nakłada karę w wysokości 300zł do zapłaty w ciągu 48godzin. Uaktywnia nawet kamerę internetową, która wyświetla mój obraz w prawym rogu ekranu. Podaje moje OTL. Proszę o pomoc. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 (edytowane) "Logi"? Tu jest tylko jeden, brak pliku Extras. Albo omyłkowo nie załączyłeś, albo opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". Na dodatek log główny zrobiony z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika (z pośrednich znaków wynika, że adrian): Computer Name: MX8PC | User Name: Administrator | Logged in as Administrator. Konta mają inne rejestry i foldery i log musi być zrobiony z poziomu konta na którym jest problem. Najwyraźniej "Policja" działa na innym koncie, bo tu w logu Administratora jej nie widać jako wpisu w starcie, są luźne pliki na dysku ale nie wpis startowy. Ale ... "Cyberprzestępczość" to mniejszy problem, w systemie działa bardziej inwazyjny robak Brontok. Robak jest zreplikowany na wszystkich kontach i trzeba będzie po kolei sprawdzać logi ze wszystkich .... Na koncie Administrator: 1. Otwórz Notatnik i wklej w nim: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.exe /f reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Bron-Spizaetus /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tok-Cirrhatus /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tok-Cirrhatus-3444 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoFolderOptions /f reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\System32\cmd-brontok.exe C:\WINDOWS\Nowe_konto.exe "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\br7911on.exe" "C:\Documents and Settings\Administrator\Moje dokumenty\Moje dokumenty.exe" "C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif" "C:\WINDOWS\System32\adrian's Setting.scr" "C:\WINDOWS\System32\Administrator's Setting.scr" "C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe" "C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad" DeleteFolder: "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-31" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok" "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-25" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 4. Zrób nowy log OTL z opcji Skanuj. Przypominam o logu Extras. Na koncie adrian: Nie wchodź w Tryb normalny jeszcze, zastartuj do Trybu awaryjnego, zaloguj się na to konto i zrób logi z OTL. Punkt dwa w powyższej instrukcji na koncie Administrator już zdejmie część blokady policyjnej, zostanie jeszcze skrót ctfmon.lnk do usunięcia, ale to jest mniej istotne = Brontok do wyczyszczenia priorytetowo. . Edytowane 6 Grudnia 2012 przez picasso 6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi