Wirus ze zdjęciem Głowy Państwa

[KuraKombi]

Dzień Dobry,

 

jeśli ktoś mógłby wytłumaczyć laikowi (czyli mi) na prosty język o co chodzi z tym wirusem?

 

http://www.wroclaw.pl/Uwaga-na-wirus-Policja

 

Wyskoczyło mi takie okno, ale nic mi nie zablokowało, posiadam Nod 32 - 4, wychwycił jedno zagrożenie - poddał wyleczeniu. Czy ten "robak" jest u mnie zainstalowany, czy nie bo go wyrzuciłem. Jest druga  doba od zdarzenia i komputer pracuje normalnie. Jak sprawdzić, czy wszystko jest ok?

 

Z góry dziękuję za cenne odpowiedzi.

 

[Hotex]

Ten wirus blokuje ci kompa, tak że nie możesz nic zrobić. Wyświetla się tylko ta plansza z informacją, bez pulpitu, bez paska start.

Istnieje dużo sposobów na pozbycie się tego wirusa. Począwszy od uruchomienia zewnętrznego antywirusa, skończywszy na formacie dysków. Z tym świństwem miałem już do czynienia. Jakoś sobie poradziłem bez formata, nie wiem jakim cudem, chyba to było zależne od mojej przeglądarki i antywirusa, ale trudno go wyrzucić, bo podmienia plik explorer.exe na swój jakiś explorer2.exe, czy coś, w dodatku instaluje się pod jakąś dziwną nazwą. a nawet doszły mnie słuchy, że blokuje Tryb awaryjny, oraz konto użytkownika.

Także to jest koszmar dla zwykłego użytkownika. Wielu ludzi popełniło błąd, że zapłaciło tym, którzy napisali ten wirus, a i tak nie odblokował ten kod który otrzymali ich komputerów. Instaluje się zazwyczaj przez nieaktualne Adobe Air i Java, oraz przez wchodzenie na podejrzane strony np. Own Skin, czy strony XXX, albo strony z bardzo długą, lub bardzo krótką nazwą, może też siedzieć w jakichś reklamach, lub animacjach. Ja osobiście zainstalowałem AdBlock i Avast Online Security - wtyczki do Google Chrome.

AdBlock - zapobiegająca wyświetlaniem reklam, oraz Avast Online Security - informująca o tym czy strona jest bezpieczna.

Na razie nic nie złapałem, lecz nie będę tu kusił losu. Nie mówię więcej już nic.

Pozdrawiam!

P.S. Wstaw logi z OTL i FRST (poczytaj zasady działu), jeśli wszystko dobrze pójdzie, ktoś mądrzejszy przeczyta te logi i odpowie ci co dalej zrobić.

 

https://www.fixitpc.pl/forum-6/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

 

[KuraKombi]

Kurcze, chyba źle zostałem zrozumiany. Mi nie zablokowało kompa. Wyskoczyła mi informacja, że to zrobią jak nie zapłacę, minęło 1,5 doby i komp chodzi dalej. Nod wychwycił jedną infekcję - wyleczył. Chodzi mi o to, jak sprawdzic, czy Nod poradził sobie z tym syfem i rzeczywiście już nie mam tego wirusa. Czytałem gdzieś w necie, że antywirusy nie radzą sobie z tym, więc sam nie wiem.  Ps. ktoś mi powiedział, żeby przeskanować programem "adwcleaner" i po sprawie, czy to wystarczy?

Mam świadomość, że kolejne pytanie może wielu rozśmieszyć, ale: jak wstawić te logi ? Słabo jestem rozgarnięty jeśli chodzi o informatykę

[byq8327]

Ponizej odnosniki do programow z ktorych nalezy zalaczyc logi. Logi powstana po zrobieniu skanu danym programem dodaj je do wpisu zalacznikiem.

• FRST
• OTL
• GMER

[Hotex]

No ale jak to źle zrozumiany? Napisałeś "jeśli ktoś mógłby wytłumaczyć laikowi (czyli mi) na prosty język o co chodzi z tym wirusem?", więc ci odpisałem o co chodzi. Nie rozumiem, czemu napisałeś "źle zrozumiany".

Link do programów, też podałem tobie pod moim postem. Wystarczy odnieść się do instrukcji na tej stronie.

Nie zauważyłeś tego czy jak?

[KuraKombi]

A więc dokonałem skanowania za pomocą ww. programów.

Proszę o sprawdzenie, czy wszystko ok, czy ten mój Nod 32 poradził sobie z tym wirusem (pomimo okna informujacego o zajeciu kompa, jeszcze go nie zablokowało).

 

W załaczeniu pliki.

 

Acha, w okienku skanującym GMER była jedna zakładka, której nie było w instrukcji tj. 3rd party, jej nie zaznaczałem ( jak na zdjęciu)  http://oi62.tinypic.com/2e1t7rr.jpg

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

KuraKombi, ten komunikat był zapewne tylko formą "tymczasową" na poziomie przeglądarki. Nie podałeś także gdzie konkretnie NOD wykrył to zagrożenie (precyzyjna ścieżka dostępu). W podanych raportach nie ma oznak tej infekcji, ale należy usunąć jeszcze szczątki adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Program Files\Gophoto.it

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

.

[KuraKombi]

A więc wykonałem wszystkie czynności i załączam pliki.

 

Chciałbym prosic o pomoc w jeszcze jednej kwestii, otóż przy odtwarzaniu np. Youtouba, radia internetowego lub nawet winampa strasznie trzeszczy mi głos i jakby lekko przycina, dodatkowo wolniej mi się "ładuje" komp przy rozruchu i jakby w ogóle wolniej chodził, zwłaszcza przeglądarki internetowe ( dwa okna i już lag, zaznaczam, że nie ma w tym czasie innych dodatkowych procesów ). Być może nieświadomie usunąłem jakiś sterownik audio.

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

KuraKombi, proszę nie twórz posta pod postem (skleiłam) i nie dostarczaj zbędnych logów (usuwam), jeśli nie jesteś o nie proszony. Poprzedni skrypt wykonany, ale widzę nowe zmiany: nie było wcześniej w raporcie Google Chrome, obecnie jest zainstalowane i także jest w nim adware GoPhoto.it. Świeża instalacja przeglądarki, a już śmieci, co budzi podejrzenia w kwestii tego czy przypadkiem nie masz włączonej sychronizacji z serwerem Google? Jeśli synchronizacja jest włączona, czyszczenie Google Chrome nie ma sensu, bo z serwera w kółko będą ładowane śmieci. W pierwszej kolejności należy wyłączyć synchronizację.

 

 

Chciałbym prosic o pomoc w jeszcze jednej kwestii, otóż przy odtwarzaniu np. Youtouba, radia internetowego lub nawet winampa strasznie trzeszczy mi głos i jakby lekko przycina, dodatkowo wolniej mi się "ładuje" komp przy rozruchu i jakby w ogóle wolniej chodził, zwłaszcza przeglądarki internetowe ( dwa okna i już lag, zaznaczam, że nie ma w tym czasie innych dodatkowych procesów ).

Był tu uruchamiany GMER, toteż zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

.

[KuraKombi]

KuraKombi, proszę nie twórz posta pod postem (skleiłam) i nie dostarczaj zbędnych logów (usuwam), jeśli nie jesteś o nie proszony.

Przepraszam za post po poście     Nie wiem, czemu tak poszczę w karnawale

Wykonałem czynności  w kwestii weryfikacji transferu dysku w ustępie „Skutki uboczne skanu GMER” i naprawdę pomogło, już tak nie tnie i kompik szybciej się rusza

Chciałbym zapytać, czy to normalne, że ikonki  (patrz. zdjęcie) "inne urządzenia" i "nieznane urządzenie" są na żółto?

http://oi61.tinypic.com/2ypizw1.jpg

Google Chrome zainstalowałem bo naiwnie myślałem, że może to wina Firefoksa :/  Instalowałem przeglądarkę i pewnie nieumyślnie zaznaczyłem "synchronizację  z serwerem Google", w jaki sposób można to wyłączyć? I jak wywalić pozostałe  śmieci?

[picasso]

Chciałbym zapytać, czy to normalne, że ikonki (patrz. zdjęcie) "inne urządzenia" i "nieznane urządzenie" są na żółto?

Jest to normalne w przypadku braku określonych sterowników. Z Menedżera urządzeń wynika, że jest jakieś urządzenie, do którego brak sterowników. Ja to widziałam już w raporcie FRST Addition:

 

==================== Faulty Device Manager Devices =============
 

Name:

Description:

Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}

Manufacturer:

Service:

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

 

 

Google Chrome zainstalowałem bo naiwnie myślałem, że może to wina Firefoksa :/ Instalowałem przeglądarkę i pewnie nieumyślnie zaznaczyłem "synchronizację z serwerem Google", w jaki sposób można to wyłączyć? I jak wywalić pozostałe śmieci?

1. Wyłącz synchronizację z serwerem. Wchodzisz przez ten link: KLIK. Powinna się pokazać opcja:

 

"Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?

Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?

Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin."

 

2. Po wyłączeniu synchronizacji w Google Chrome:

- Ustawienia > karta Rozszerzenia > odinstaluj GoPhoto.it

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Zrób nowy log FRST (bez Addition).

 

 

 

.

[KuraKombi]

Witam ponownie,

 

chciałem przeprowadzić czynności wyłączenia synchronizacji z serwerem, a tu "zonk" wchodzę w link, a tu zamiast opcji ""Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?" pokazuje się: http://oi61.tinypic.com/2urazdj.jpg

Na to wygląda, że nie mam włączonej tej synchronizacji   Dodam, że obsługujemy z tego komputera 2 gmail'e i jak sie zalogowałem na drugim koncie to info te same

 

Co teraz robić picasso? Acha, na tym komputerze jest obsługiwane jeszcze jedno konto facebooka i moja żona ma taką opcję w tel komórkowym zaznaczoną od roku, że ma cały czas zalogowane konto facebook i gmail (to jest zaznaczone w komórce z zakładki "konta i synchronizacja") nic więcej nie przychodzi mi do głowy

[picasso]

Skoro synchronizacja nie jest czynna, wygląda na to, że GoPhoto.it zainstalowano ręcznie, lub ewentualnie przekopiowano ustawienia. Po prostu wykonaj to:

 

1. Skonfiguruj przeglądarkę:

 

- Ustawienia > karta Rozszerzenia > odinstaluj GoPhoto.it

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. Zrób nowy log FRST (bez Addition).

 

 

.

[KuraKombi]

Kurdę wchodzę w opcje:  Ustawienia / Rozszerzenia  i nie widzę GoPhoto.it

Podobnie sprawdziłem na firefoxie, załączam Screeny:

 

http://oi61.tinypic.com/25u5fs7.jpg

 

http://oi58.tinypic.com/vq3c6o.jpg

[picasso]

Firefox przecież już był resetowany. W ostatnim logu było widać GoPhoto.it tylko w Google Chrome. Skoro tego nie widać w przeglądarce:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR Extension: (GoPhoto.it) - C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pfmopbbadnfoelckkcmjjeaaegjpjjbk [2014-02-05]
CHR HKLM\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files\Gophoto.it\gophotoit16.crx [2013-08-14]
C:\Program Files\Gophoto.it

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Reset wtyczek przeglądarki via chrome://plugins nadal aktualny.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[KuraKombi]

Ok, dołączam pliki.

Ps. Dołączam też  "Shortcut.txt"   bo się wygenerował, przy skanowaniu musiałem "zaptaszkować"

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Skrypt przetworzony, acz pewne fragmenty Gophoto.it nie zostały znalezione, tak jakby je już zlikwidowano wcześniej. To tyle w zakresie usuwania. Kończ temat:

 

1. Porządki po narzędziach. Przez SHIFT+ DEL (omija Kosz) skasuj z dysku używane narzędzia oraz te foldery:

 

C:\FRST

C:\Documents and Settings\Admin\Pulpit\FRST-OlderVersion

C:\Documents and Settings\Admin\Pulpit\Stare dane programu Firefox

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. O ile nic się nie zmieniło od ostatniego sprawdzanego raportu, poniżej wyliczone programy do aktualizacji: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 12 Plugin (Version: 12.0.0.43 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Adobe Shockwave Player 12.0 (Version: 12.0.7.148 - Adobe Systems, Inc.)

Foxit Reader (Version: 6.1.2.1224 - Foxit Corporation)

Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2

Mozilla Firefox 26.0 (x86 pl) (Version: 26.0 - Mozilla)

 

 

 

.

[KuraKombi]

Nie wiem jak sprawdzić, czy nic się nie zmieniło od ostatniego raportu, mam nadzieję, że nic 

 

Bardzo dziękuję za wszystkie cenne wskazówki oraz pomoc.

[picasso]

Nie wiem jak sprawdzić, czy nic się nie zmieniło od ostatniego raportu, mam nadzieję, że nic

Chyba się nie rozumiemy. Skoro nic się nie zmieniło, aktualizacje są do wykonania. Podałam powyżej w poście jakie wersje zainstalowanych programów były widoczne w poprzednich raportach. Dostałeś zadanie porównania czy te wersje nadal są w systemie, a jeśli tak, to należy programy zaktualizować.

 

 

 

.

[KuraKombi]

Ok. Dziękuję