Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Policyjna blokada - Weelsof

LightMoon

Przez LightMoon
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Mam w profilu zaznaczone: nie udzielam pomocy przez PW, to oznacza także "przypominanie" o temacie. Zacznij od przeczytania zasad działu, a stanie się jasne czego wymagam do prowadzenia tematu: KLIK.

 

Komputer zablokowany, toteż start w Trybie awaryjnym, logowanie na właściwe konto, na którym ujawnia się infekcja i stworzenie raportów do oceny.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ale dlaczego uruchamiałeś ComboFix?! Nie zadawałam tego, a o samym ComboFix dlaczego nie uruchamia się go ot tak: KLIK. ComboFix tu nie był potrzebny, nie załatwił też spraw do końca, i tak wymagane dalsze czyszczenie. Na przyszłość: proszę się trzymać ściśle instrukcji, nie uruchamiać aplikacji nie wskazanych i nie kombinować na własną rękę w trakcie leczenia.

 

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Conduit Engine, McAfee Security Scan Plus, Softonic-Polska Toolbar, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, V9 Homepage Uninstaller, Veoh Web Player Toolbar.

 

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" usuń z listy stron startowych home.sweetim.com i ustaw opcję "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń SweetIM Search z listy. W Rozszerzeniach odinstaluj SweetIM for Facebook, SweetPacks Chrome Extension. Wyczyść Historię.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Jola\AppData\Roaming\skype.ini
C:\Windows\os4.exe
C:\Windows\zlib1.dll
C:\Windows\Last.dat
C:\Windows\memlist.dat
C:\Windows\Language.dat
C:\Windows\test.dat
C:\Users\Jola\AppData\Roaming\YourFileDownloader
C:\Users\Jola\AppData\Roaming\1334
C:\Users\Jola\AppData\Roaming\ExpressFiles
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\prefs.js
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\hiqd0lxa.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\searchplugins\conduit.xml
C:\Users\Jola\AppData\Roaming\mozilla\firefox\profiles\hiqd0lxa.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={BF0A05A9-2ADC-11E2-A212-00FF01000001}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={24231CBB-7950-4A36-B63B-0093F9F9C395}&mid=16be38ee70bb47d69b36d16b5f0b7a34-a8747fb044d73eb4f9d5b2d3ce65612c886d78c8&lang=pl&ds=AVG&pr=fr&d=2010-01-11 19:29:28&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={BF0A05A9-2ADC-11E2-A212-00FF01000001}"
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Uwaga: w skrypcie resetuję preferencje Firefox przejęte przez adware via usunięcie pliku prefs.js. To oznacza reset ustawień Firefox do postaci domyślnej.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ale przecież użyłeś ComboFix, który skasował plik infekcji c:\users\Jola\AppData\Roaming\skype.dat. W podanym tu logu z OTL nie ma już wpisu ładowania tej infekcji odnoszącego się do skype.dat. Blokady więc nie powinno być. Co tu się więc dzieje?

 

A deinstalacje muszą się odbyć z poziomu Trybu normalnego a nie awaryjnego.

 

 

 

.

Odnośnik do komentarza
LightMoon

LightMoon

Opublikowano
  • Autor
Opublikowano

Po kolejnym resecie komputer się odpalił jednak nie posiadam całej zawartości pulpitu, która jest mi bardzo potrzebna i czy jest możliwość odzyskania tych plików, oraz wyskakuje błąd Program Exploator Windows przestał działać i odświeża co chwile przez to pulpit komputera. Nie mogę też używać opcji z Start z tego powodu i odpalić Panelu Sterowania.

 

Po kilku próbach pulpit i jego zawartość się pojawiła jednak nadal nie mogę odpalić Panelu sterowania aby usunąć programy

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Błąd "Program Explorator przestał działać" zamyka powłokę explorer.exe, dlatego jest goły Pulpit. Błąd ten raczej nie jest wynikiem infekcji tylko czego innego (przypuszczalnie wadliwe rozszerzenie powłoki czy kodeki). Potrzebne dane na temat tego błędu:

 

Na gołym Pulpicie uruchom menedżer zadań przez sekwencję klawiszy CTRL+SHIFT+ESC. Z menu Plik > Nowe zadanie > wskaż C:\Windows\system32\eventvwr.msc, co uruchomi Dziennik zdarzeń. Przeszukaj go pod kątem tego błędu explorer.exe, pobierz Właściwości znalezionego błędu i przeklej tu szczegóły.

 

 

Nie mogę też używać opcji z Start z tego powodu i odpalić Panelu Sterowania.

 

Jak pokazuję powyżej, przez Menedżer zadań i funkcję Nowe zadanie można odpalić różne rzeczy. Na razie to zostaw, bo analizujemy błąd explorer.exe.

 

 

 

.

Odnośnik do komentarza
LightMoon

LightMoon

Opublikowano
  • Autor
Opublikowano

Explorer:

 

System Windows nie może uzyskać dostępu do pliku C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Eksplorator Windows z powodu tego błędu.

 

Program: Eksplorator Windows

Plik: C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

 

Wartość błędu jest wyświetlona w sekcji Dodatkowe dane.

Akcja użytkownika

1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu.

2. Jeśli nadal nie można uzyskać dostępu do pliku i

- jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią i czy można skontaktować się z serwerem.

- jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera.

3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz polecenie CHKDSK /F, a następnie naciśnij klawisz ENTER.

4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej.

5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem komputera lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc.

 

Dodatkowe dane

Wartość błędu: C0000185

Typ dysku: 3

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Błąd pokazuje, że jest problem z buforem miniatur:

 

System Windows nie może uzyskać dostępu do pliku C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Eksplorator Windows z powodu tego błędu.
 
Program: Eksplorator Windows
Plik: C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

 

Zanim podam działania korekcyjne, na początek podaj mi spis plików buforującym miniatury:

 

1. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz komendę:

 

dir /a C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer >C:\log.txt

 

2. Na dysku C powstanie plik C:\log.txt. Dołącz go tutaj.

 

 

.

 

Odnośnik do komentarza
LightMoon

LightMoon

Opublikowano
  • Autor
Opublikowano

Przepraszam, że to wszystko tyle trwa ale komputer się strasznie zawiesza przez to i nie szło zapisać tego dokumentu a później odpalić z dysku c żeby móc wysłać

 

 Wolumin w stacji C to OS

Numer seryjny woluminu: 62B2-9CA6

 

Katalog: c:\users\jola\appdata\local\microsoft\windows\explorer

 

2012-11-12 08:01 <DIR> .

2012-11-12 08:01 <DIR> ..

2011-02-22 14:30 32˙768 ExplorerStartupLog.etl

2013-01-28 19:44 16˙384 ExplorerStartupLog_RunOnce.etl

2012-11-11 22:42 174˙063˙616 thumbcache_1024.db

2012-11-11 22:42 40˙894˙464 thumbcache_256.db

2012-11-11 22:42 9˙437˙184 thumbcache_32.db

2013-01-13 22:37 222˙298˙112 thumbcache_96.db

2013-01-03 19:58 413˙720 thumbcache_idx.db

2012-11-11 22:42 24 thumbcache_sr.db

8 plik(˘w) 447˙156˙272 bajt˘w

2 katalog(˘w) 121˙844˙023˙296 bajt˘w wolnych

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na początek wykonaj te działania:

 

1. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz komendę chkdsk /f /r i ENTER. Zresetuj system. Przy starcie wykona się sprawdzanie dysku.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db

 

Klik w Unlock.

 

3. Zastartuj do Trybu awaryjnego z Wierszem polecenia. Wpisz te komendy (po każdej ENTER):

 

cd C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer

del /q thumbcache*

 

4. Zastartuj do Trybu normalnego. Jeśli błąd eksploratora ustąpi, to wykonaj wszystkie akcje zalecone przeze mnie w poście numer #8.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To oznacza, że punkt 2 z GrantPerms nie został wykonany poprawnie lub narzędzie nie dało rady zresetować uprawnień. W związku z tym start do Trybu awaryjnego, otwórz folder C:\Users\Jola\AppData\Local\Microsoft\Windows\Explorer i ręcznie zresetuj uprawnienia wszystkich plików thumbcache* bazując na instrukcjach: KLIK. Dopiero po tym ponów komendy z punktu 3.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko zrobione, tylko drobne poprawki na szczątki (w typ po pasku AVG):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
IE - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found
O3 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\S-1-5-21-2024165145-3232637845-3248632911-1000\..\Toolbar\WebBrowser: (no name) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - No CLSID value found.
O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found
SRV - [2011-05-30 10:33:54 | 001,025,352 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
SRV - [2013-01-25 06:35:17 | 000,945,328 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe -- (vToolbarUpdater14.0.1)
DRV:64bit: - [2013-01-25 06:35:18 | 000,037,720 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)
 
:Files
C:\Users\Jola\uidsave.dat
C:\Windows\DeleteOnReboot.bat
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Program Files (x86)\AVG\AVG10
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]


"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"


 


[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]


 


[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]


 


[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Uruchom Firefox i poustawiaj w nim pożądane opcje.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...