scott Opublikowano 9 Listopada 2012 Zgłoś Udostępnij Opublikowano 9 Listopada 2012 Okno blokujące komputer o treści z tematu pojawiło się wczoraj. Szukając informacji w sieci o sposobach usunięcia wirusa trafiłem na program ComboFix, który uruchomiłem w trybie awaryjnym. Niestety program nie poradził sobie z tematem i po ponownym uruchomieniu komputera nadal pojawiała się tabliczka z blokadą. Ponownie włączyłem tryb awaryjny, odinstalowałem combofix (/uninstall) , zainstalowałem Malwarebytes Anti-Malware, który znalazł 5 plików do usunięcia (usunąłem) Po ponownym uruchomieniu komputera system załadował się prawidłowo bez żadnych tabliczek. Podłączyłem sieć i po chwili pojawiła się ponownie tabliczka, tym razem w wersji angielskiej Ponownie wszedłem w tryb awaryjny, przeskanowałem Malwarebytes Anti-Malware (znalazł 3 pliki - usunąłem), ale niestety po załadowaniu systemu w trybie normalnym brakuje mi np. ikon na pulpicie. Wygląda tak jakby nie załadował się w pełni do końca (sieci już nie podłączałem) Wszedłem ponownie w tryb awaryjny i wygenerowałem logi zamieszczone poniżej Używam Visty Home Premium 32-bity Z góry dziękuję za pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2012 Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Na temat używania ComboFix: KLIK. Uruchomiony niepotrzebnie i nie sprawdzone co robił (odinstalowałeś, co usuwa log). A blokada w ogóle nie jest usunięta, w starcie czynny wpis infekcji: O4 - HKU\S-1-5-21-428263888-3337197754-1510391393-1000..\Run: [sCardDlg] C:\Users\Maciej\AppData\Local\Microsoft\Windows\4393\SCardDlg.exe (Apple Inc.) 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-428263888-3337197754-1510391393-1000..\Run: [sCardDlg] C:\Users\Maciej\AppData\Local\Microsoft\Windows\4393\SCardDlg.exe (Apple Inc.) IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=1e4ce4a4-9f73-11e0-b82f-002354364334&q={searchTerms}" IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-428263888-3337197754-1510391393-1000\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Maciej\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\Maciej\AppData\Local\Microsoft\Windows\4393 C:\Users\Maciej\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, objawy ustąpią. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
scott Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Wyglada na to, ze jest już ok załączam jeszcze log po skanuj Dziękuję za pomoc OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Infekcja pomyślnie usunięta. Przejdź do wykończeń: 1. Na liście zainstalowanych masz szczątkową pozycję adware Browsers Protector. Odinstaluj. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. W Dzienniku zdarzeń występuje błąd WMI numer 10. Instrukcje naprawcze: KB950375. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj wyliczone poniżej: KLIK. Wg Twojego raportu Windows bez aktualizacji i zainstalowane wersje: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{644CEC11-C3D3-4F8D-A935-74F1EEF38209}" = ESET NOD32 Antivirus"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Gadu-Gadu" = Gadu-Gadu 7.7 Do wykonania: pełna aktualizacja Windows (SP2 + IE9 + reszta łat), deinstalacja produktów Adobe i zastąpienie najnowszymi wersjami, wymiana starawego antywirusa ESET (komponenty z roku 2009) czymś nowoczesnym. Gadu-Gadu 7.7 też zakreślam, bo wersja archaiczna (brak pełnej obsługi własnej sieci) i słabo zabezpieczona. Polecam alternatywny program WTW, dobrze obsługujący sieć Gadu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi