Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer zostal zablokowany z powodu naruszenia prawa polskiego - ukash.

zbysiu7890

Przez zbysiu7890
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

zbysiu7890

zbysiu7890

Opublikowano
Opublikowano

Witam,

Jak zuwazylem problem jest znany na tym forum (przynajmniej dzisiaj - jakis masowy atak???), wiec tu pisze mam ten sam problem co inni. Zrobilem pelny skan w OTL i nie wiem co robic dalej. Prosze o wytlumaczenie dokladnie krok po kroku co robic, gdyz nie ogarniam tego OTL. Posiadam Windows 7 32 bit. Prosze o szybka pomoc.

 

 

Screen : http://imageshack.us...jcie0016dg.jpg/

 

P.S: widze prawie we wszystkich tematach ze w google chrome tez trzeba cos robic ja ich nie posiadam posiadam firefox'a. Czy beda tez potrzebne jakies dodatkowe programy do usuniecia

tego gowna??

 

 

Nie zebymbyl niegrzeczny ale naprawde potrzebuje tego ze tak powiem "na wczoraj"

 

Sorry ze podbijam posta do gory ale komputer jest potrzebmy do mojej pracy a w trybie awaryjnym nie moge z niego porzadnie korzystac.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Do uzupełnienia odpowiedzi służy opcja Edytuj i tak też należało podmienić wadliwe Załączniki, wszystko czyszczę i sklejam. Przypominanie też tu nic nie wskóra. Nie ma nas lub nie mamy czasu = brak odpowiedzi. Policz łaskawie liczbę proszących o pomoc i skontrastuj z dwoma osobami specjalizowanymi tutaj do prowadzenia pomocy tego poziomu ...

 

 

P.S: widze prawie we wszystkich tematach ze w google chrome tez trzeba cos robic ja ich nie posiadam posiadam firefox'a. Czy beda tez potrzebne jakies dodatkowe programy do usuniecia tego gowna??

 

Proszę przeczytaj zasady działu i ustęp na temat tzw. "wzornictwa" na innych tematach: KLIK. Nie wolno się sugerować co my robimy u innych użytkowników. Prowadzimy wiele operacji nie związanych z tą infekcją per se, np. czyszcze adware / innych infekcji / poprawki określonych błędów. Operacje w Google Chrome, bo tak się składa, że błoga większość dotkniętych tą infekcją ma również dodatkowy brud w systemie, adware etc. A Ty z kolei uruchamiałeś tu jakiś skrypt do OTL = tego nie wolno robić. Skrypty są unikatowe, pasują tylko do jednego systemu.

 

Prócz infekcji, masz uszkodzone ścieżki folderów powłoki w rejestrze, co obrazuje ten kuriozalny odczyt w OTL:

 

 

 

O4 - Startup: C:\Users\All Users\Adobe [2012-02-03 14:34:32 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\ALLPlayer [2011-10-19 22:15:21 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\AMD [2011-12-27 21:18:07 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Astroburn Pro [2012-05-29 23:27:10 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\ATI [2011-12-27 21:18:22 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\DAEMON Tools Lite [2011-10-24 18:33:10 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Dane aplikacji [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Dokumenty [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\EA Core [2011-10-31 19:20:12 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Electronic Arts [2011-10-31 19:20:12 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Kaspersky Lab [2012-07-06 19:35:09 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Malwarebytes [2012-02-03 21:26:15 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Media Center Programs [2012-05-20 22:00:37 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Menu Start [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Microsoft [2012-05-06 23:18:21 | 000,000,000 | --SD | M]

O4 - Startup: C:\Users\All Users\Microsoft Help [2012-04-18 23:33:10 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Mozilla [2012-03-18 01:09:27 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Nero [2011-10-28 16:11:02 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\OpenFM [2011-11-25 17:24:40 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\PMB Files [2012-07-06 14:30:57 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Pulpit [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Real [2012-04-21 16:57:41 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Samsung [2011-12-27 22:29:52 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Skype [2012-06-27 07:54:29 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Solidshield [2011-10-30 16:40:00 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\SpieleEntwicklungsKombinat [2012-04-20 19:13:44 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Sun [2011-10-20 13:02:52 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Szablony [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Ubisoft [2012-02-02 18:31:49 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Ulubione [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Xfire [2012-03-11 10:40:10 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\AppData [2009-07-14 04:37:05 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Default\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Cookies [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Dane aplikacji [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Desktop [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Documents [2011-10-19 20:40:37 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Downloads [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Favorites [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Menu Start [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Moje dokumenty [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Music [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\My Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NetHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NTUSER.DAT ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Default\Pictures [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Recent [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 04:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\SendTo [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Szablony [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Ustawienia lokalne [2011-10-19 20:40:37 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Videos [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\.gstreamer-0.10 [2011-11-25 17:24:18 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Krzysztof\AppData [2011-10-19 20:41:22 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Krzysztof\Bluebirds [2011-10-28 16:32:38 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Krzysztof\Contacts [2011-10-20 07:52:11 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Cookies [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Dane aplikacji [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Desktop [2012-07-06 19:30:18 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Documents [2012-05-25 16:06:50 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Downloads [2012-07-06 19:56:22 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Favorites [2011-10-19 23:37:56 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\Menu Start [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Moje dokumenty [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Music [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\NetHood [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\NTUSER.DAT ()

O4 - Startup: C:\Users\Krzysztof\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\Krzysztof\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\Krzysztof\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Krzysztof\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Krzysztof\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Krzysztof\ntuser.ini ()

O4 - Startup: C:\Users\Krzysztof\Pictures [2012-04-21 16:52:50 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\PrintHood [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Recent [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\riotsGamesLogs [2012-07-05 12:55:49 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Krzysztof\Saved Games [2012-02-15 18:22:28 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Krzysztof\Searches [2012-02-07 15:04:50 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Krzysztof\SendTo [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Start Menu [2011-11-07 15:53:11 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Krzysztof\Szablony [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Ustawienia lokalne [2011-10-19 20:41:22 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Krzysztof\Videos [2012-04-21 16:53:39 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Desktop [2012-06-30 15:44:36 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Documents [2011-11-06 02:52:13 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Downloads [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Favorites [2009-07-14 04:04:25 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Libraries [2009-07-14 06:41:57 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Music [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Pictures [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Recorded TV [2011-10-19 21:00:35 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Public\Videos [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

 

 

To również będę naprawiać.

 

 

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [taskbarcpl] C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162\taskbarcpl.exe ()
 
:Files
C:\Program Files\spolsv.exe
C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wykonaj skan dodatkowy w OTL na wpisy folderów powłoki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Skanuj (a nie Wykonaj skrypt!). Dodaj także ten log z wynikami usuwania OTL uzyskany w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Te logi Extras (i to jeszcze w dublu) usuwam. Po co mi ponownie. Mam główny Extras z posta numer 1. Następnie - mylisz co jest skryptem a co skanem! Mówiłam wyraźnie:

 

Wykonaj skan dodatkowy w OTL na wpisy folderów powłoki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

Przecież wkleiłeś jako "skrypt" to co miało być skanowaniem tylko do odczytu. Powtarzaj akcję, tylko teraz wg konfiguracji OTL poodznaczaj zbędniki (bo tak gruby log mi już niepotrzebny): wszystkie opcje ustawione na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej co podałam i klik w Skanuj.

 

 

Aha i jeszcze jedno pytanie czy wrazie ponownego ataku mozna uzyc tego skryptu ponownie czy bedzie on juz inny?

 

W żadnym wypadku. Skrypty są unikatowe nie tylko dla danego systemu, ale i konkretnego punktu czasowego infekcji. Infekcja wróci = nowe logi i ewentualnie nowy skrypt (to zależy, metod i narzędzi skryptowych wiele). Za każdym razem należy weryfikować sprawę "na czysto". Nie istnieje skrypt uniwersalny.

 

 

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...