MaleDoswiadczenie Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Dzień dobry, moim problemem jest to iż nie potrafię usunąć wirusa wymienionego w tytule oraz jeszcze paru wydaje mi się poważnych wirusów, które powracają co jakiś czas i nie dają mi spokoju. Jest to: "Police Central e-crime Unit" oraz "Antivirus protection 2012" , ostatnio pojawiły mi się one parę tygodni temu. "Police Central e-crime Unit" nie pozwalał mi nic zrobić, mogłem jedynie wcisnąć reset a i tak po zresetowaniu komputera znowu pojawiało mi się okno na cały pulpit, które paraliżowało moje działania i kazało mi zapłacić jakąś kwotę abym mógł dalej korzystać z PC. Myslałem że udało mi się zlikwidować ten wirus ale przeliczyłem się, wraca raz po raz. "Antivirus protection 2012" zainstalował mi się kiedyś samoistnie i natychmiast rozpoczął skanowanie, wykrył mi ponad 100 różnego rodzaju wirusów(zdziwiło mnie to ponieważ parę dni wcześniej skanowałem komputer i nie wykrywał m żadnych wirusów, nie możliwe żeby tak szybko taka ilość zainfekowała mój PC), następnie poprosił mnie o kupienie licencji w celu ich usunięcia. Zablokowywał mi on przeglądarki jak i różne programy informując że zawierają one wirusy. Co do wirusa podanego w temacie, wykrywał go "Kaspersky Virus Removal Tool" i właśnie tym programem przenosiłem wirus do kwarantanny bądź go usuwałem, jednak nic to nie dało, trojan wciąż powraca. Starałem się usuwać te wirusy także programami typu: "Trojan Killer", "Spyware Doctor" i "Malwarebytes Anti-Malware" Znalazłem różnego rodzaju metody na stronach internetowych jednak nie poskutkowały one w 100%. Postępowałem według tych sposobów i udawało mi się usuwać te wirusy, ale jak widać tylko powierzchownie. Jakieś 2h temu zaatakowały mnie kolejny wirusy (Internet Security 2012) i (Virus.Win32.ZAccess.c)... Nie jestem zaawansowanym użytkownikiem, dlatego zwracam się do Państwa o pomoc w rozwiązaniu mojego problemu i w związku z tym prosiłbym o jakiś sprawdzony sposób na sprawdzenie czy one znajdują się jeszcze na moim komputerze i jak je usunąć. To mój pierwszy temat na tym forum, więc proszę o wyrozumiałość jeśli czegoś nie zanotowałem lub czegoś brakuje. Odnośnik do komentarza
Anonim8 Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Niby jak ktoś ma ci pomóc skoro nie dałeś logów. Nawet nie wiadomo o jakim systemie mówimy. http://www.fixitpc.p...ty-systemowe/#1 Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 4 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 No tak, przepraszam. Załączone pliki OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 W skład obowiązkowych logów wchodzi również GMER. Proszę dodaj go, by było wiadome czy są jakieś czynności rootkit (mówiłeś o wykryciu Virus.Win32.ZAccess.c). . Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 5 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2012 Jasne, już go załączam: GMER.txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Tasks\At*.job C:\WINDOWS\Tasks\Banh.job C:\WINDOWS\System32\main4.dll C:\WINDOWS\system32\ati.dll C:\WINDOWS\system32\drivers\tsk2.tmp C:\Documents and Settings\1\c422c8c6-5689.exe C:\Documents and Settings\1\Dane aplikacji\3F5FEB.dat C:\Documents and Settings\All Users\Dane aplikacji\e3d00a4 C:\Documents and Settings\All Users\Dane aplikacji\4q2TO0Gdk.dat C:\Documents and Settings\All Users\Dane aplikacji\2m5RHX73.exe C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\rg3knbgv.default\searchplugins\conduit.xml :Services zebrmdmc getPlusHelper sptd OCDE esgiguard EagleXNt EagleNT catchme BTCOMBUS BT AmdLLD 5689 35739911 MRxSmb :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" [HKEY_USERS\S-1-5-21-1801674531-343818398-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes,DefaultScope = {043C5167-00BB-4324-AF7E-62013FAEDACF} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=bf3&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=&src=crm&q={searchTerms}&locale= IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} FF - prefs.js..browser.search.defaultthis.engineName: "MovieBario Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2680812&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2680812&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [GEST] = File not found O4 - Startup: C:\Documents and Settings\1\Menu Start\Programy\Autostart\_uninst_77423957.lnk = File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wpisujesz netsvcs i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search. Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 7 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2012 Oto one: OTL.Txt AdwCleanerR1.txt Odnośnik do komentarza
Landuss Opublikowano 7 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2012 Sytuacja uległa znacznej poprawie, ale są jeszcze drobne szczątki do skorygowania. 1. Użyj AdwCleaner tym razem z opcji Delete. 2. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=- "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\ 00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\ 6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\ 00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\ 57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Wykonaj skan za pomocą Malwarebytes Anti-Malware i jeśli coś znajdzie zaprezentuj raport. Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 8 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Program wykonał pełne skanowanie i wykrył 2 infekcje. Oto raport: mbam-log-2012-04-08 (17-22-49).txt Odnośnik do komentarza
Landuss Opublikowano 8 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Po prostu usuń to co wykrył i to by było na tyle z usuwania. Parę rzeczy na koniec do wykonania zostało: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione oprogramowanie do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 26 Szczegóły: KLIK Pytanie na koniec czy wszystko w porządku? Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 10 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2012 Napotkałem problem przy opróżnianiu folderu przywracania systemu. Zatwierdziłem zmiany, uruchomił się komunikat ostrzeżeniowy który również zatwierdziłem, następnie otworzyło mi się okienko które brzmiało następująco: " Przywracanie systemu napotkało błąd podczas próby włączenia/wyłączenia jednego lub więcej dysków. Uruchom ponownie komputer i spróbuj ponownie. " Po ponownym uruchomieniu dalej to samo, resztę rzeczy które miałem wykonać wykonałem i nie napotkałem żadnych trudności, oprócz tej wymienionej powyżej. Odnośnik do komentarza
Landuss Opublikowano 10 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2012 Wejdź w start > Uruchom > services.msc i odnajdź usługę Przywracanie systemu sprawdź przez dwuklik czy jest uruchomiona i czy ma ustawiony tryb uruchamiania na automatyczny. Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 11 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2012 Stan usługi: Zatrzymano Typ uruchomienia: Automatyczny Odnośnik do komentarza
Landuss Opublikowano 12 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2012 W takim razie zastartuj usługę przyciskiem. Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 13 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2012 Gdy chciałem ją uruchomić, wyskoczył komunikat: " Nie można uruchomić usługi Usługa przywracania systemu na komputerze Komputer lokalny. Błąd 5: Odmowa dostępu " Odnośnik do komentarza
Landuss Opublikowano 13 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2012 Najwyraźniej coś tu jest nie tak z tą usługą. Wykonaj jeszcze jedną czynność - wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr] "Type"=dword:00000002 "Start"=dword:00000000 "ErrorControl"=dword:00000001 "Tag"=dword:00000004 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\ 00,00,00 "DisplayName"="System Restore Filter Driver" "Group"="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters] "FirstRun"=dword:00000000 "DontBackup"=dword:00000000 "MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum] "0"="Root\\LEGACY_SR\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj komputer i sprawdź efekty. Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 14 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2012 Niestety dalej to samo. Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 Landuss Sprzeczności w importowanym REG w obszarze kluczy polis SystemRestore. Równocześnie konfigurujesz blokadę na zero, a zaraz usuwasz i tak te klucze. MaleDoswiadczenie Przeinstaluj Przywracanie systemu: Start > Uruchom > C:\Windows\inf > z prawokliku na plik sr.inf wybierz opcję Instaluj. Jeśli padnie pytanie o wskazanie plików, wskaż C:\Windows\ServicePackFiles, a przy braku tego katalogu należy podstawić CD XP. . Odnośnik do komentarza
MaleDoswiadczenie Opublikowano 24 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 Czyli muszę posiadać płytę CD mojego XP, tak? Jeżeli tak to niestety nie posiadam jej. Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 (edytowane) Czyli muszę posiadać płytę CD mojego XP, tak?Jeżeli tak to niestety nie posiadam jej. Płyta jest niezbędna tylko w przypadku, gdy nie ma na dysku kopii zapasowych plików (np. katalog C:\Windows\ServicePackFiles). . Edytowane 25 Maja 2012 przez picasso 25.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi