QbaK Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Witam serdecznie, Mój komputer został zainfekowany wirusem o nazwie System Care Antivirus. Wius udaje program antywirusowy, wyświetla udawane komentarze o zagrożeniach, otwiera okna z rzekomym skanowaniem systemu oraz blokuje uruchomienie jakichkolwiek programów na zainfekowanym koncie. W załączeniu logi z OTLa. OTL działał z zainfekowanego konta (uruchomiony po zmianie nazwy na explorer). Uprzejmie proszę o pomoc. Pozdrawiam, Kuba Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Log z OTL zrobiony na nieprawidłowym ustawieniu, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. OTL działał z zainfekowanego konta (uruchomiony po zmianie nazwy na explorer). To ciekawe: nie ma wpisu startowego System Care Antivirus, choć w procesach ewidentnie działa ten fałszywiec. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\DEDDAD9D745E47F00000DEDCCEC64D98 :OTL SRV - File not found [Auto | Stopped] -- C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\HIDEC.3XE C:\ComboFix\SWREG.3XE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q -- (PEVSystemStart) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Odinstaluj zbędny McAfee Security Scan Plus. To prawdopodobnie instalacja niecelowa, sponsor paczek Adobe. 3. Zrób nowy log OTL z opcji Skanuj. Przypominam: wszystkie opcje ustawione na "Użyj filtrowania". Pliku Extras po raz drugi nie dołączaj. . Odnośnik do komentarza
QbaK Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Po reboot'cie wirus nie wyskakuje. W załączeniu log. Co mogę jeszcze zrobić? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Usuwanie pomyślnie wykonane. Przeprowadź kroki końcowe: 1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) 4. Wymień antywirusa. Ten F-Secure Internet Security 2010 jest stary (silnik z roku 2009). . Odnośnik do komentarza
QbaK Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 serdecznie dziękuję za błyskawiczną pomoc, pozdrawiam życząc miłego dnia. Kuba Odnośnik do komentarza
Rekomendowane odpowiedzi