Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komunikat "polska policja"

Chrystiano

Przez Chrystiano
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Skoro usuwałeś za pomocą MBAM, należało podać raport z narzędzia co to konkretnie było. Po infekcji został tylko jeden plik 0tbpw.pad. Doczyszczanie tego + wpisów pustych:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-11-29 21:43:26 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
[2012-11-30 02:52:22 | 000,001,441 | ---- | M] () -- C:\scu.dat
[2012-11-14 02:36:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Chłopaki\Dane aplikacji\ProgSense
O4 - HKU\S-1-5-21-1614895754-1645522239-1177238915-1003..\Run: [AdobeBridge]  File not found
O8 - Extra context menu item: Download &Flash Movies - C:\Program Files\Flash2X\Flash Hunter\save.htm File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva392.sys -- (XDva392)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vmci.sys -- (vmci)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\cwbsffxq.sys -- (cwbsffxq)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\CPUID\PC Wizard 2010\pcwiz_x32.sys -- (cpuz134)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan zbędny.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt pomyślnie wykonany. Kończymy:

 

1. Na Twojej liście zainstalowanych jest wpis SweetIM for Messenger 3.7. Wygląda na martwy. Windows powinien zadać pytanie czy kasować pusty wpis.

 

2. W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stary Adobe Reader i resztę wtyczek Adobe, zastępując je najnowszymi, zaktualizuj Firefox i Operę: KLIK. Wg Twojego raportu obecnie masz wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
"Opera 11.62.1347" = Opera 11.62
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1165635.dll (Adobe Systems, Inc.)

 

 

 

.

Odnośnik do komentarza
Chrystiano

Chrystiano

Opublikowano
  • Autor
Opublikowano

Siostra sie zalogowała na swoje konto i wyskakuje ten błąd

 

bladti.jpg

 

i chyba wiem dlaczego ; /

Myślałem że nieważne z jakiego konta użytkownika naprawie ten problem więc zrobiłem te wszystkie punkty na swoim. Czy powinienem powtórzyć te wszystkie operacje na koncie siostry ? Dodam że właśnie ten wirus pokazywał się na jej koncie a nie na moim.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
[Myślałem że nieważne z jakiego konta użytkownika naprawie ten problem więc zrobiłem te wszystkie punkty na swoim. Czy powinienem powtórzyć te wszystkie operacje na koncie siostry ? Dodam że właśnie ten wirus pokazywał się na jej koncie a nie na moim.

 

To zupełnie zmienia sytuację. Konta mają inne foldery i rejestry. Logi zawsze muszą być robione z poziomu konta na którym jest problem. Nie, nie możesz powtórzyć podanych wcześniej kroków, modyfikacje były prowadzone na podstawie określonych danych pobranych z poziomu Twojego konta. Teraz należy zrobić logi z poziomu konta siostry. Czyli logowanie na jej konto, robisz raporty.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Opcja "Wszyscy użytkownicy" tylko wybiórczo potrafi przedstawić fragmenty rejestru i katalogi innych kont. Nadal głównym załadowanym rejestrem jest ten konta zalogowanego i skan OTL przede wszystkim to przedstawia.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Nell\Menu Start\Programy\Autostart\runctf.lnk
 
:OTL
IE - HKU\S-1-5-21-1614895754-1645522239-1177238915-1005\..\SearchScopes\{91D838F6-D2EA-4B93-A969-AC95C358FA1D}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc="
O3 - HKU\S-1-5-21-1614895754-1645522239-1177238915-1005\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[reboot]

 

Klik w Wykonaj skrypt. Po restarcie do oceny wystarczy tylko log z usuwania.

 

2. W Google Chrome konta Nell jest odpadkowa wtyczka adware Babylon:

 

========== Chrome  ==========
 
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Documents and Settings\Nell\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.1_0\BabylonChromePI.dll

 

Usunięcie tego wymaga bezpośredniej edycji pliku preferencji. Skopiuj na Pulpit plik:

 

C:\Documents and Settings\Nell\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Ja plik zedytuję i odeślę do podmiany.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...