i105n2k Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Witam, mój przypadek nie różni sie zbytnio od poprzednich, podczas pracy pojawił się komunikat z informacją ze komputer został zablokowany, logo polici w Sępólnie Krajeńskim i prośba o wpłatę 300pln. Ekran pojawia się zaraz po włączeniu systemu. W trybie awaryjnym wywaliłem z autostartu i dysku podejrzanie brzmiący proces i chwilę było ok, potem pojawiły się nowe problemy-komputer po starcie musiał 3 minuty odstać bezczynnie żeby uruchomić dowolny program aż do wczoraj kiedy "blokada" wróciła. Poniżej stosowne logi: gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 W trybie awaryjnym wywaliłem z autostartu i dysku podejrzanie brzmiący proces i chwilę było ok Jaki proces i czym? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1123561945-796845957-839522115-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/accmeware/{F60D3283-7F9C-427C-AC93-AD313887FA65}?q={searchTerms}" O3 - HKU\S-1-5-21-1123561945-796845957-839522115-1003\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O4 - HKLM..\Run: [WinSCard] C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2225\WinSCard.exe (Microsoft Corporation) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Bartek\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys) DRV - File not found [Kernel | Auto | Stopped] -- System32\drivers\aspi32.sys -- (Aspi32) :Files C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2225 C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\45-r1-on-s7-p8-0r C:\Documents and Settings\Bartek\Dane aplikacji\hellomoto C:\Documents and Settings\Bartek\Dane aplikacji\Cidoum C:\Documents and Settings\Bartek\Dane aplikacji\Qozoca C:\Documents and Settings\Bartek\Dane aplikacji\Toolbar4 C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\2vhx97mt.default\searchplugins\search.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\i386\Config.Msi\Winlogon.exe"=- "C:\WINDOWS\explorer.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Wyczyść Firefox ze śmieci i starach danych: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Za dużo programów zabezpieczających. Wspólnie działają Avast i Ad-Aware. Ten ostatni do deinstalacji. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I pytanie, co to za dziwne cyfrowe pliki JPG w ścieżce konta, przykład: C:\Documents and Settings\Bartek\a1a148f8-c86e-4950-a476-605787679672.jpg . Odnośnik do komentarza
i105n2k Opublikowano 2 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 2 Listopada 2012 Jaki proces i czym? msconfig->Uruchamianie odznaczyłem program ynzar.exe 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I pytanie, co to za dziwne cyfrowe pliki JPG w ścieżce konta, przykład: C:\Documents and Settings\Bartek\a1a148f8-c86e-4950-a476-605787679672.jpg Log w załączniku. Pliki jpg okazały się być starymi zrzutami ekranowymi-bardzo dziwny temat bo robione w róznym czasie i napewno nie robiłem ich ja (jestem jedynym użytkownikiem tego komputera). Skąd mogły się tam wziąść ? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2012 Zgłoś Udostępnij Opublikowano 2 Listopada 2012 1. Nie odinstalowałeś Ad-aware jak wskazywałam. Działa Avast w tle, za duże obciążenie i możliwość konfliktu. Wykonaj. 2. Przypadkowo ominęłam deinstalację adware pdfforge Toolbar v1.1.2. Wygląda to zresztą na archaiczny odpadek. Usuń to. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Bartek\Drivers.sys :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 5. Do oceny mi podaj: log utworzony przez AdwCleaner, log z wynikami usuwania OTL oraz nowy skan OTL na szczególnych warunkach: msconfig->Uruchamianie odznaczyłem program ynzar.exe Podaj dodatkowy skan na msconfig, ponieważ domyślnie OTL nie skanuje tej partii. Uruchom OTL, ale wszystkie sekcje ustaw na Brak + szukanie plików na Żadne, w sekcji Własne opcje skanowania / skrypt wpisz słowo msconfig i klik w Skanuj. Pliki jpg okazały się być starymi zrzutami ekranowymi-bardzo dziwny temat bo robione w róznym czasie i napewno nie robiłem ich ja (jestem jedynym użytkownikiem tego komputera). Skąd mogły się tam wziąść ? Pytałam co to za pliki, ponieważ ich dziwna lokalizacja, ilość i numeracja sugerowały coś a'la aktywność keyloggera zrzucającego widok ekranu ... Nie jest też wykluczone, że miałeś zainstalowany jakiś program do zrzutów ekranu (?) omyłkowo skonfigurowany i automatycznie robiący screenshoty. Nie wiem. W każdym razie pliki były stare z lat 2010/2011, a to implikuje zaprzeszłość, zresztą widzę że już się ich pozbyłeś. . Odnośnik do komentarza
i105n2k Opublikowano 3 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2012 1. Zrobione 2. Zrobione 3. Zrobione, log w załączniku. 4. Zrobione-tu głupia sprawa bo nie zapisałem log-a 5. Zrobione log w załączniku. OTL.Txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2012 Zgłoś Udostępnij Opublikowano 5 Listopada 2012 (edytowane) 4. Zrobione-tu głupia sprawa bo nie zapisałem log-a Log z usuwania jest zapisywany automatycznie w katalogu C:\_OTL. Co do msconfig, to skan z OTL w ogóle nie pokazuje, by opisywana przez Ciebie pozycja była tam w stanie wyłączonym. Wnioskuję, że czymś musiało to zostać usunięte. W związku z tym przechodzimy już do końcowych operacji: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 6 Grudnia 2012 przez picasso 6.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi