gregorie78 Opublikowano 29 Grudnia 2013 Zgłoś Udostępnij Opublikowano 29 Grudnia 2013 Witam, dwa tygodnie temu wyświetlił mi się komunikat o cyberprzestepczości "Polizia Biuro Służby Kryminalnej" itd. Próbowałem go usunąć Malwarebytes AntiMalware - ten go wprawdzie nie wykrył, ale po zrestartowaniu wszystko wróciło "do normy" - tzn, komputer uruchomił się bez problemów, a komunikat więcej się nie wyświetlił. Ostatnio jednak otrzymałem informacje o logowaniu do moich kont na fb i battlenet z podejrzanych lokalizacji - nie wiem, czy może to mieć związek z tym wirusem, czy też może problem tkwi gdzie indziej. Bardzo proszę o jakąś wskazówkę dotyczącą usuwania tego wirusa. System Windows 7 SP1 x64. Poniżej linki do logów: OTL: http://www.wklej.org/id/1218865/ http://www.wklej.org/id/1218868/ FRST: http://www.wklej.org/id/1218869/ http://www.wklej.org/id/1218871/ Dziękuję za wszelką pomoc gregorie78 Odnośnik do komentarza
picasso Opublikowano 30 Grudnia 2013 Zgłoś Udostępnij Opublikowano 30 Grudnia 2013 Był tu używany jakiś skrypt do OTL. Skąd / co miał robić? Wejdź do folderu C:\_OTL i wyciągnij stamtąd log z akcjami skryptu. Śladów infekcji Urausy i innych brak. Są tylko mikro odpadki adware, bez znaczenia dla sprawy. Jest natomiast widoczna grubsza usterka, tzn. dysfunkcja WMI: ATTENTION: If processes are not listed WMI should be repaired. Na razie przeprowadź działania czyszczące różne szczątki: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {E1F277E1-0FFE-4B77-8573-9DEC6D048936} URL = SearchScopes: HKCU - {F8C37D7F-0976-43B7-A929-C8F47E6260C0} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=811882E3-E68D-4E85-B150-9D68B51CC00C&apn_sauid=27B57362-D1A8-4573-959E-EF219E464626 CHR StartMenuInternet: Google Chrome - C:\Users\gregorie\AppData\Local\Google\Chrome\Application\chrome.exe http://pl.v9.com/?utm_source=b&utm_medium=prs CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S3 CV2K1; system32\DRIVERS\cv2k1.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S1 SBRE; \??\C:\Windows\system32\drivers\SBREdrv.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt. . Odnośnik do komentarza
gregorie78 Opublikowano 30 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2013 Dzięki za pomoc - ten skrypt z OTL miał usunąć typową wersję tego wirusa, znalazłem to chyba na hxxp://www.malwareremovalguides.info, ale już nie pamiętam, czy na pewno tam. Zrobiłem wszystko wg Twoich wskazówek - linki do logów: FRST http://www.wklej.org/id/1219577/ FSS http://www.wklej.org/id/1219579/ Fixlog http://www.wklej.org/id/1219580/ Odnośnik do komentarza
picasso Opublikowano 30 Grudnia 2013 Zgłoś Udostępnij Opublikowano 30 Grudnia 2013 ten skrypt z OTL miał usunąć typową wersję tego wirusa, znalazłem to chyba na hxxp://www.malwareremovalguides.info, ale już nie pamiętam, czy na pewno tam. Skrypt raczej pochodzi z innego miejsca, gdyż punktowany serwis w ogóle nie podaje takich instrukcji (żadnych gotowych skryptów). I miałeś dodać ten log, nie ma go? Wejdź do folderu C:\_OTL i wyciągnij stamtąd log z akcjami skryptu. Akcje wykonane, jeszcze usuń sobie ten plik C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml. Ale problem dysfunkcji WMI mocno niejasny. Podaj mi dodatkowy skan na niektóre obszary WMI. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s CMD: sc query Winmgmt CMD: sc start Winmgmt CMD: winmgmt /salvagerepository Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. . Odnośnik do komentarza
gregorie78 Opublikowano 30 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2013 log z folderu C:\_OTL http://www.wklej.org/id/1219929/ fixlog: http://www.wklej.org/id/1219922/ Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się