michal611 Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 (edytowane) Witam, nie wiem jak jest z kolejnością, więc edytuje temet... przeglądając internet wyskoczył mi dziwny komunikat "Na komputerze jest zainfekowany" i proszą o przelanie 100 EUR za odblokowanie. Wszystko jest na niebieskim tle z logo windows, które pojawia sie odrazu po uruchomieniu komputera. Na komputerze mogę działać w trybie awaryjnym z dostępem do sieci. Szczegóły w załącznikach Pozdrawiam Michał OTL.Txt Extras.Txt Edytowane 7 Lipca 2012 przez michal611 Odnośnik do komentarza
michal611 Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wiem, że pogoda nie dopisuje... ale już jestem na czwartej stronie i obawiam się, że zaraz zniknę całkowicie:) pomoże ktoś??? Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 michal611, przypominanie się / podbijanie a zasady działu: KLIK. Twoim zmartwieniem powinno być co innego: moja premedytacja, by celowo temat potraktować jako dalszy, gdy ktoś nachalnie się przypomina. Było wielu użytkowników, którzy założyli temat na długo przed Tobą i mają priorytet. Tylko dwie osoby prowadzące pomoc (aktualnie czynna jestem tylko ja) i kuriozalna ilość proszących o pomoc. Tak więc mistrzu pokazowo proszę mi przetworzyć tu zaraz dwieście tematów z różnymi instrukcjami (logi są niepowtrzalne) w czasokresie od godziny 21:45 z wczoraj do dnia dzisiejszego. Będę pełna podziwu, gdy to wykonasz i jeszcze się prześpisz i zjesz śniadanie. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1554920091-796931263-1221738049-2010..\Run: [termmgr] C:\Users\mwalewski\AppData\Local\Microsoft\Windows\1458\termmgr.exe () O4 - HKLM..\Run: [] File not found IE - HKU\S-1-5-21-1554920091-796931263-1221738049-2010\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" FF - prefs.js..browser.startup.homepage: "http://www.daemon-search.com/startpage" :Files C:\Users\mwalewski\AppData\Local\Microsoft\Windows\1458 C:\Users\mwalewski\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), w katalogu C:\_OTL pojawi się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z wynikami usuwania OTL z punktu 1. . Odnośnik do komentarza
michal611 Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 picasso, to moja pierwsza prośba o pomoc i nie wiedziałem jak zareagować w chwili kiedy mój temat uciekał dalej... przepraszam za problem, ale nie wiedziałem jaki jest background sytuacji... Przechodząc do tematu, to komputer już jest odblokowany i wysyałm następne załączniki. Dzięki za pomoc Nie mogę załączyć jednego pliku, ponieważ wyskakuje mi kumunikat, że nie mam uprawnień do wysyłania tego typu plików - wrzucam poniżej tekst z pliku: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1554920091-796931263-1221738049-2010\Software\Microsoft\Windows\CurrentVersion\Run\\termmgr deleted successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\1458\termmgr.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-1554920091-796931263-1221738049-2010\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found. Prefs.js: "http://www.daemon-search.com/startpage" removed from browser.startup.homepage ========== FILES ========== C:\Users\mwalewski\AppData\Local\Microsoft\Windows\1458 folder moved successfully. C:\Users\mwalewski\AppData\Roaming\hellomoto folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: administrator ->Temp folder emptied: 33907406 bytes ->Temporary Internet Files folder emptied: 61478891 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 57033 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: dkr ->Temp folder emptied: 33854 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: mwalewski ->Temp folder emptied: 2508495072 bytes ->Temporary Internet Files folder emptied: 887100793 bytes ->Java cache emptied: 31525493 bytes ->FireFox cache emptied: 108329305 bytes ->Flash cache emptied: 3128241 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 3682304 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 281911162 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 3 738,00 mb OTL by OldTimer - Version 3.2.53.1 log created on 07072012_123433 Files\Folders moved on Reboot... C:\Users\mwalewski\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZYDYLX9T\9526-ukash-na-komputerze-jest-zainfekowany-win-64-bit-pomocy[1].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MO5NJO37\xd_arbiter[1].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\fastbutton[1].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\fastbutton[2].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\like[2].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\wyniki-wyszukiwania;search,774[1].htm moved successfully. C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0XNC225S\xd_arbiter[1].htm moved successfully. PendingFileRenameOperations files... File C:\Users\mwalewski\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZYDYLX9T\9526-ukash-na-komputerze-jest-zainfekowany-win-64-bit-pomocy[1].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MO5NJO37\xd_arbiter[1].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\fastbutton[1].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\fastbutton[2].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\like[2].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4QBLQCTS\wyniki-wyszukiwania;search,774[1].htm not found! File C:\Users\mwalewski\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0XNC225S\xd_arbiter[1].htm not found! Registry entries deleted on Reboot... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Nie mogę załączyć jednego pliku, ponieważ wyskakuje mi kumunikat, że nie mam uprawnień do wysyłania tego typu plików Eh, zasady działu znów. Tam jest wyjaśnione dlaczego (zresztą w Pomocy forum również). Załączniki akceptują tylko rozszerzenie *.TXT, a to format *.LOG. Solucja to ręczna zmiana nazwy pliku. Zadanie wykonane. Czynności finalizujące czyszczenie: 1.W OTL uruchom Sprzątanie kasujące z dysku kwarantannę OTL oraz to narzędzie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
michal611 Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wszystko poszło OK - w załączniku przesyłam raport, ponieważ coś zostało wykryte mbam-log-2012-07-07 (22-50-03).txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 1. Wynik nie liczy się. Co dopiero to wyjaśniałam na forum: KLIK. 2. Na zakończenie wykonaj istotne aktualizacje / sprawdzian wersji: KLIK. Tutaj z Twojej listy zainstalowanych próbka wykazu: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit7.176.1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish"{F1CECE09-7CBE-4E98-B435-DA87CDA86167}" = Skype™ 5.3"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"FileZilla Client" = FileZilla Client 3.5.0"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) (zważ że są obecne dwie gałęzie aplikacji, wersje 64-bit i 32-bit) . Odnośnik do komentarza
Rekomendowane odpowiedzi