maciekikot Opublikowano 7 Maja 2013 Zgłoś Udostępnij Opublikowano 7 Maja 2013 Bardzo proszę o pomoc. Tym razem trafił mi się taki "wirus policyjny", który nie pozwala nawet odpalić kompa w trybie awaryjnym. Komp przechodzi mi przez pole wyboru, a następnie wyłacza się sam. Będę wdzięczny za instrukcje ratunkowe. Pozdrawiam Odnośnik do komentarza
diox Opublikowano 7 Maja 2013 Zgłoś Udostępnij Opublikowano 7 Maja 2013 Próbowałeś odpalić komputer w Trybie awaryjnym z wierszem polecenia i tam zrobić log z OTL ? Jeśli tam nie zadziała, zrób log z FRST . . Odnośnik do komentarza
maciekikot Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 W trybie awaryjnym z wierszami polecenia mam sekwencję C:\windows\system32>_ Co mam wpisać, aby zrobić log z OTL ? Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Ta "sekwencja" to ścieżka bieżąca i nie ma tu znaczenia. Podepnij pendrive z OTL i w linii komend wpisz X:\OTL.exe (gdzie X to litera pod jaką jest widziany pendrive) i ENTER. Liternictwo podejrzysz wpisując z kolei komendę notepad i ENTER, w Notatniku z menu Plik > Otwórz > z boku klik w Komputer. . Odnośnik do komentarza
maciekikot Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Dzięki, podłączam raport z OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Raport niekompletny, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). 1. W Notatniku zapisz na pendrive plik o zawartości: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Tabesooh"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{82E1477C-B154-48D3-9891-33D83C26BCD3}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Files C:\Users\Właściciel\AppData\Roaming\skype.dat C:\Users\Właściciel\AppData\Roaming\skype.ini C:\Users\Właściciel\AppData\Roaming\Ukeg C:\Users\Właściciel\AppData\Roaming\Epzamo C:\Users\Właściciel\AppData\Roaming\Dyuko C:\Program Files\Mozilla Firefox :Services BrowserProtect :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Start do Trybu awaryjnego z Wierszem polecenia. Wklep komendę notepad i w Notatniku otwórz plik przygotowany w punkcie 1. Następnie wklep komendę uruchamiania OTL i w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika. Klik w Wykonaj skrypt. Zatwierdź restart. System zostanie odblokowany, przechodzisz w Tryb normalny, by wykonać: 3. Przez Panel sterowania odinstaluj adware BrowserProtect. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log z usuwania OTL z punktu 2 oraz ten utworzony przez AdwCleaner. . Odnośnik do komentarza
maciekikot Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Ok, zrobione.Bardzo dziękuję za pomoc. Załączam logi. OTL.Txt Extras.Txt AdwCleanerS7.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Miałeś dodać też log z usuwania OTL utworzony podczas przetwarzania skryptu w punkcie 2. Niemniej już to pomińmy, bo widać pożądane zmiany w skanie. Kończymy: 1. Minimalna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare wtyczki Adobe i Java, zastąp najnowszymi, o ile potrzebne: KLIK. To m.in. luki Java są furtką dla tej infekcji. W systemie widać obecnie zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) Uwaga dodatkowa: masz zainstalowanego też potwora Gadu-Gadu 10. Program: już stary, ciężki, przeładowany reklamami i martwymi funkcjami (wiele serwisów wyłączono) i będzie przywracał zdezelowany Adobe Flash. Proponuję albo spojrzeć na najnowsze GG11 (jest nieco lepsze), albo alternatywne programy np. WTW: KLIK. 5. Siedzi tu też starawy McAfee (datowanie komponentów na 2010). Sugeruję wymianę na coś nowocześniejszego. Polecam też zainteresowanie się metodą zabezpieczeń typu SandBoxie. . Odnośnik do komentarza
maciekikot Opublikowano 9 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2013 Ok, dokończę za chwilę sprawę. Pozdrawiam i dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi