indy Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Witam, mam problem z zablokowanym komputerem. Pojawił się komunikat o naruszeniu prawa polskiego.Oczywiście kwestia opłaty ukash. Proszę o pomoc. Przesyłam logi z OTL. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 W zasadach działu (KLIK) jest wyraźnie zaznaczone, by przyznać się do uruchomienia ComboFix i przedstawić z niego log. Ten log tym bardziej tu ważny, bo widzę na dysku odświeżenie pliku sterownika cdrom.sys, co sugeruje, że ComboFix wykrył go jako zainfekowanego i podmieniał ... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WinSCard] C:\Documents and Settings\shogun\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2925\WinSCard.exe () O4 - HKLM..\Run: [GEST] = File not found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106777" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541875526129075" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\shogun\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2925 C:\Documents and Settings\shogun\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\CYCmXrPM.exe C:\WINDOWS\tasks\At*.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 1, AdwCleaner z punktu 3 oraz log zrobiony wtedy z ComboFix (nie uruchamiaj narzędzia ponownie!). . Odnośnik do komentarza
indy Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Dołączam logi z usuwania OTL, nowy skan OTL, log z Adw oraz wykonany wcześniej log z ComboFixa. Robiłem skan w gmer ale przy próbie zapisania do .txt komputer się zawiesił, więc nie mam:( AdwCleanerR1.txt OTL.Txt 07102012_092234.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 To nie jest log z ComboFix z pierwszego uruchomienia, było ich wiele: ComboFix-quarantined-files.txt 2012-07-09 09:55ComboFix2.txt 2012-07-08 19:25ComboFix3.txt 2012-07-08 14:55 Wejdź do katalogu C:\Qoobox i wygrzeb pierwszy, ten który ma nagrane co kasował / robił. Robiłem skan w gmer ale przy próbie zapisania do .txt komputer się zawiesił, więc nie mam:( W instrukcjach jest napisane, by użyć funkcji Kopiuj a nie bezpośredni zapis raportu do pliku. I proszę ponów skan w GMER, to musi zostać sprawdzone. . Odnośnik do komentarza
indy Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 w gmer tak właśnie zrobiłem przez kopiuj, dołączam plik z combofixa, ten powinien być najstarszy, ComboFix3.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 (edytowane) No i wszystko jasne. ComboFix kasował rootkita ZeroAccess, dlatego odświeżał się sterownik cdrom.sys (sterowniki systemowe zainfekowane). UKASH przy nim to nic. Co z raportem z GMER? Czekam na ponowienie skanowania. Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi