przem Opublikowano 30 Marca 2013 Zgłoś Udostępnij Opublikowano 30 Marca 2013 Witam, Jakiś czas temu, podczas przeglądania internetu, wyskoczył mi ekran z logo polskiej Policji informujący o zablokowaniu mojego komputera i możliwości jego odblokowania po kupieniu Paysafe card. Wyskakuje po każdym uruchomieniu. Najpierw podłączyłem dysk do innego komputera i przeskanowałem Avastem z najbardziej restrykcyjnymi ustawieniami. Znalazł kilka zainfekowanych plików, które skasował, ale "wirus policyjny" pozostał. Jakie to były pliki i czym zainfekowane nie zanotowałem. Uruchomiłem komputer w trybie Safe wraz z obsługą sieci i przeskanowałem OTL. Logi w załącznikach. Mój system operacyjny to Windows 7 64 bit. Proszę o pomoc w usunięciu tego złośliwego oprogramowania. Pozdrawiam Przem Extras.txt OTL.txt Odnośnik do komentarza
Landuss Opublikowano 30 Marca 2013 Zgłoś Udostępnij Opublikowano 30 Marca 2013 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2611275" IE - HKU\S-1-5-21-1364919588-1970070381-19452435-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2611275" O4 - HKU\S-1-5-21-1364919588-1970070381-19452435-1001..\Run: [] File not found F3:64bit: - HKU\S-1-5-21-1364919588-1970070381-19452435-1001 WinNT: Load - (C:\Users\przemi\AppData\Local\Temp\{14739~1.EXE) - File not found F3 - HKU\S-1-5-21-1364919588-1970070381-19452435-1001 WinNT: Load - (C:\Users\przemi\AppData\Local\Temp\{14739~1.EXE) - File not found :Files C:\Users\przemi\4219493.dll C:\ProgramData\3949124.pad C:\ProgramData\3949124.reg C:\ProgramData\3949124.bat C:\Users\przemi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Usuń. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
przem Opublikowano 31 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2013 Po wykonaniu skryptu w OTL, a następnie użyciu AdwCleaner, przy uruchomieniu OTL do wykonania skanu wyskoczył plik log z OTL jak w załączniku (03312013_083004.txt) Wykonałem skan OTL (plik w załączniku). Edycja: Doszedłem do wniosku, że skrypt w OTL nie zadziałał więc poczytałem troche na tym forum i trafiłem na program MBAM. Przeskanowałem dysk, wykrył: - Trojan.FakeMS,- Trojan.Ransom.SUGen,- PUM.UserWLoad, Wyżej wymienione rzeczy były powiązane z plikami i wpisami jakie miał usunąć skrypt w OTL, więc skasowałem je przy pomocy MBAM'a. Ręcznie usunąłem pliki: - C:\ProgramData\3949124.pad,- C:\ProgramData\3949124.reg,- C:\ProgramData\3949124.bat, oraz wyczyściłem Temp. Użyłem ponownie AdwCleaner i wykonalem skan OTL (plik w załączniku). Mogę dorzucić jeszcze log z MBAM. 03312013_083004.txt OTL.txt OTL-03-03-2013.txt Odnośnik do komentarza
Landuss Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 (edytowane) Rzeczywiście logi wskazują, że skrypt nie zadziałała. Proszę wykonać je na nowo i wkleić do posta aby była znana aktualna sytuacja. Edytowane 19 Maja 2013 przez picasso 19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi