Acren Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Pisze z koma(i odrazu przepraszam za brak polskich znakow ), bo gdy che sie zalogowac na komputer pisze, ze komputer zostal zablokowany przez policje i chca abym wplacil 300 zl i podal jakis kod UKASH (jakos tak). Dodam ze mam win7 64 bitowy, pomozcie jak zrobic teraz skan tym OTLem i wyslac wam logi. Chyba na dobre forum ftrafilem. Z gory dzieki. Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Przecież masz wszystko opisane na forum w temacie przyklejonym jak skan wykonać: https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/ Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Gdyby wszystko bylo takie proste. Mam 2 uzytkownikow podczas na logowanie na jakiegokolwiek z nich wyskakuje ten bialy ekran z informacja ze komp zostal zablokowany i prosi o podanie tego kodu. Teyb awaryjny i tryb awaryjny z siecia to samo sie dzieje, natomiast z wierszem polecen dziala nie pokazuje sie to, ale dostepu do internetu nie mam. I w tym jest caly problem @edit add dobra na gościu to nie występuje zaraz podam raport Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 To trochę dziwne bo żaden z użytkowników nie miał jak dotąd problemu z wykonaniem logów przy tej infekcji. W takim razie zrobisz inaczej a więc z poziomu WinRe. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > wygeneruj log za pomocą narzędzia FRST x64 np. uruchomionego z pendrive. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Mogę dodać raport generowany z gościa, do którego udało mi się dostać normalnie uruchamiając komputer (nie zadne tryby awaryjne [w trybie awaryjnym tylko aktywowałem goscia]) Da sie obejść bez tgo FRST x64 bo narazie nie mam dostępu do żadnego pendrive ? Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Logi z gościa nie wykażą obiektów infekcji. Muszą być robione z konta na którym jest problem. Więc te ogi na nic się nie zdają bo nie widzą infekcji. W takiej sytuacji bez FRST się nie obejdzie i musisz to wykonać w ten sposób jak podałem wyżej. Nie musi to być pendrive, wystarczy jakakolwiek pamięć przenośna czy dysk. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Właśnie nic takiego nie mam, ale zobacz te logi. Te logi w załączniku, są zrobione na koncie/profilu gdzie występuje ten problem. Logi te byly robione w trybie awaryjnym z obsługą wiersza poleceń. otla.txt extrasa.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Możesz przejść do usuwania - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Adrian\AppData\Roaming\43euyh45wsuw.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O3 - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. IE - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 done otlc.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Wszystko w porządku i problemy powinny zniknąć. Możesz przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 wszystko cacy ekran sie nie pokazuje tylko jest jeden problem: tzn tak jak bym pulpitu nie miał ;s tzn jest tapeta ale ikon na niej nie ma ponadto zadnej nowej ikony nie moge zrobić na pulpicie, nic na pulpit przenieść ani gdy klikne PPM na pulpit to nie ma tego menu kontekstowego ( odswiez , utwórz nowy, wyślij skrót etc) ? Jest jakaś rada na to ? Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 A tak rzeczywiście tu są blokady nałożone. Nawet tego nie zauważyłem wcześniej w logach. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDesktop"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Restart systemu i sprawdź efekty. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 nie moge uzyć tego wyskakuje błąd Registry editor Registry editing has been disabled by your administrator. Mam angielskiego wina nie przypominam sobie zebym wyłanczał opcje edycji rejestru i mam administratora na tym kącie Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 W takim razie pobierz ponownie OTL na dysk i wykonaj skrypt o tej treści: :Reg [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDesktop"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"=- :Commands [reboot] Poinformuj o efektach. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Nie wierze po restarcie kompa znowu sie to gó**o pokazało ;/ Masz nowe logi ( w załącznikach) i co mam robić wykonywać ten skrypt czy może coś innego. otl1.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Nie rozumiem. U nikogo ta infekcja jeszcze nie wróciła. Wniosek taki, że musiałeś zaprawić się na nowo. Do zrobienia dokładnie ten sam skrypt co kilka postów wyżej robiłeś + dopisz to co dawałem ostatnio do sekcji :Reg Odnośnik do komentarza
Kosters Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Podczepiam post, może to pomoże założycielowi. Po całodniowej walce udało mi się w końcu usunąć blokadę - w tym celu w trybie awaryjnym z dostępem do sieci (Windows7) sciągnąłem program Malwarebytes ze stronki http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html. U mnie zadziałało, może i Tobie się uda. Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Kosters Proszę spojrzeć w zasady działu: KLIK. Odnośnik do komentarza
Acren Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Więc tak: Połączyłem te 2 teksty i miałem coś takiego: :FilesC:\Users\Adrian\AppData\Roaming\43euyh45wsuw.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O3 - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. IE - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found :Commands [emptytemp] :Reg [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDesktop"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"=- :Commands [reboot] poczym to wykonałem i zrestartował mi się komp nastepnie po ponownym uruchomienu loguje sie na swój profil normalnie i dostaje taki tekst odrazu przy starcie w notatniuku All processes killed========== FILES ========== C:\Users\Adrian\AppData\Roaming\43euyh45wsuw.exe moved successfully. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry key HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\c4dU5nsvHkbsaiW deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\c4dU5nsvHkbsaiW deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit deleted successfully. Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully. ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}\ not found. Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: Adrian ->Temp folder emptied: 244168 bytes ->Temporary Internet Files folder emptied: 401099 bytes ->Java cache emptied: 0 bytes ->Google Chrome cache emptied: 43494826 bytes ->Flash cache emptied: 901 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Guest ->Temp folder emptied: 809 bytes ->Temporary Internet Files folder emptied: 152349714 bytes ->Flash cache emptied: 969 bytes User: Public User: Sebek ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 396017 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 525504 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 154136 bytes Total Files Cleaned = 188,00 mb ========== REGISTRY ========== Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully. Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully. ========== COMMANDS ========== OTL by OldTimer - Version 3.2.53.0 log created on 06292012_214954 Files\Folders moved on Reboot... C:\Users\Adrian\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... File C:\Users\Adrian\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... to było w notatniku o nazwie 06292012_214954 ( no jakos tak)' Co mi to dało ? Po za tym że profil włączył sie normalnie bez tego całego białego ekranu i prośba o wpisanie tego kodu UKASH czy jakoś tak to pulpit: -Działa prawy przycisk pokazuje sie menu kontekstowe -ale nadal nie pokazuje mi ikon, tych istniejących mi nie pokazuje i tych co chce utworzyć. W C:\Users\Adrian\Desktop coś tam pokazuje ale to nie wszystkie ;s Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Pokaż nowy log z OTL z opcji Skanuj (bez ekstras) Odnośnik do komentarza
Acren Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 prosze OTL2.Txt Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 Log pokazuje, że zarówno infekcja jak i nałożone blokady zostały usunięte i jest czysto. Nie bardzo w tym momencie wiem o co chodzi z tymi ikonami, ale sprawdź czy w trybie awaryjnym masz ten sam problem. Odnośnik do komentarza
Acren Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 ok jest juz dobrze pisząc ten post przypomniało mi sie zeby sprawdzić pewna opcje i sie okazało ze była wyłaczona A mianowicie gdy: kliknełem PPM na pulpit z menu kontekstowegowybrałem View ( widok) > i tam było odznaczone "Show desktop icons", zaznaczyłem i są, anyway ja tego nieodznaczałem coś się musiało jebnąć. Wielkie dzieki za pomoc i wielki + dla ciebie Odnośnik do komentarza
Rekomendowane odpowiedzi