kostinho Opublikowano 1 Stycznia 2013 Zgłoś Udostępnij Opublikowano 1 Stycznia 2013 Witam. Jakiś czas temu wirus ( policyjny) zablokował mi komputer. Zrobiłem log przy pomocy programu FRST. Proszę o pomoc w odblokowaniu komputera. Dodam że komputer za każdym razem po odpaleniu wyświetla tło z tytułem " Komputer został zablokowany" i nie jestem nic w stanie zrobic. Pozdrawiam. FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2013 Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 1. Otwórz Notatnik i wklej w nim: C:\Users\All Users\dsgsdgdsgdsgw.js C:\Users\All Users\dsgsdgdsgdsgw.pad C:\Users\Arek\wgsdgsdgdsgsd.dll Reg: reg add HKLM\SYSTEM\ControlSet001\Services\Winmgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\WMIsvc.dll /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Ulokuj obok narzędzia FRST. 2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Powstanie plik fixlog.txt. Restartujesz do Windows. 3. Przez Panel sterowania odinstaluj adware AVG Secure Search, BrowserCompanion, McAfee Security Scan. 4. Zrób raporty z OTL. Dołącz fixlog.txt. . Odnośnik do komentarza
kostinho Opublikowano 9 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2013 Witam. Komputer udało sie uruchomić Przesyłam raport z OTL i fixlog.txt Pozdrawiam Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 31-12-2012 Ran by SYSTEM at 2013-01-09 16:53:19 Run:1 Running from H:\ ============================================== C:\Users\All Users\dsgsdgdsgdsgw.js moved successfully. C:\Users\All Users\dsgsdgdsgdsgw.pad moved successfully. C:\Users\Arek\wgsdgsdgdsgsd.dll moved successfully. ========= reg add HKLM\SYSTEM\ControlSet001\Services\Winmgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\WMIsvc.dll /f ========= Operacja ukoäczona pomy˜lnie. ========= End of Reg: ========= ==== End of Fixlog ==== Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 FRST nieprawidłowo wykonał import rejestru: SRV - File not found [Auto | Stopped] -- %X:\windows%\system32\wbem\WMIsvc.dll -- (Winmgmt) Należy ponownie skorygować usługę WMI naruszoną przez trojana. Poza tym, jeszcze czyszczenie z adware wymagane. 1. Przez Panel sterowania odinstaluj adware Funmoods Web Search. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Files C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk C:\Users\Arek\AppData\Roaming\Babylon C:\Users\Arek\AppData\Roaming\BrowserCompanion C:\Users\Arek\AppData\Local\funmoods-speeddial.crx C:\Users\Arek\AppData\Local\funmoods.crx C:\Program Files\mozilla firefox\searchplugins\babylon.xml rd /s /q C:\found.000 /C rd /s /q C:\FRST /C :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByCyBzyzzyDtByE0FyBtA0BtN0D0Tzu0CtByEyBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=336783905" IE - HKU\S-1-5-21-2817295549-1727988220-318237309-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByCyBzyzzyDtByE0FyBtA0BtN0D0Tzu0CtByEyBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=336783905" IE - HKU\S-1-5-21-2817295549-1727988220-318237309-1000\..\SearchScopes\{479E7BD4-4934-09C1-F4A3-2E4C8F52E7FA}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110021&tt=290312_bexdll&babsrc=SP_ss&mntrId=dcf3f73b0000000000000c6076798523" O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found SRV - [2012-06-14 18:40:08 | 000,828,032 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Users\Arek\AppData\Local\Temp\025404~1.EXE -- (0254041357747087mcinstcleanup) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RtsUStor.sys -- (RSUSBSTOR) DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (avgtp) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
kostinho Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Witam. Przesyłam dalsze pliki OTL i AdwCleaner. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Tym razem log z OTL zrobiłeś na złych ustawieniach, opcja Rejestr ustawiona na Wszystko, a miało być Użyj filtrowania. Zadania wykonane, kończymy: 1. Korekta na domyślne wyszukiwarki IE po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{479E7BD4-4934-09C1-F4A3-2E4C8F52E7FA}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji Windows (brak SP1) i wyliczone poniżej aplikacje: KLIK. Wg raportu siedzą tu wersje: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Gadu-Gadu" = Gadu-Gadu 7.7"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Gadu-Gadu 7.7 zakreślone, bo wersja archaiczna (brak pełnej obsługi własnej sieci) i słabo zabezpieczona. Zainteresuj się WTW: KLIK. . Odnośnik do komentarza
kostinho Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Dziękuje za pomoc. Wszystko działa teraz tak jak powinno. Można sie spodziewać z mojej strony w najbliższym czasie wsparcia dla forum "dotacje". Jeszcze raz dziekuje za pomoc. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi