Komputer zablokowany...naruszenie prawa polskiego

[szympek]

Witam

 

Problem jak u innych, zdjęcie na powitanie, brak możliwości robienia czegokolwiek w normalnym trybie. Proszę o pomoc.

OTL.Txt

Extras.Txt

[Landuss]

Oprócz infekcji Weelsof ("Ukash") to tutaj masz jeszcze inne infekcje. Są też ślady rootkita ZeroAccess w starszej wersji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-476068215-166238817-1064162798-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=185a284e000000000000d85d4c995d61
IE - HKU\S-1-5-21-476068215-166238817-1064162798-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\users\public\mdm.exe ()
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [Adobe Driver Update] C:\Users\Szymek\AppData\Local\Temp\adbreader.exe ()
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [C562A42402FABAD] C:\Users\Szymek\AppData\Roaming\C562A42402FABAD\C562A42402FABAD.exe ()
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [CubeDesktop]  File not found
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [Microsoft DLL Registration] C:\Users\Szymek\AppData\Roaming\regsrv64.exe (3M Touch Systems, Inc.)
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [Microsoft Firevall Engine] c:\users\public\mdm.exe ()
O4 - HKU\S-1-5-21-476068215-166238817-1064162798-1000..\Run: [smiEngine] C:\Users\Szymek\AppData\Local\Microsoft\Windows\4280\SmiEngine.exe ()
O4 - Startup: C:\Users\Szymek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C562A42402FABAD.exe ()
 
:Files
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 /C
netsh winsock reset /C
C:\Windows\tasks\At*.job
C:\Users\Szymek\AppData\Roaming\hellomoto
C:\Users\Szymek\AppData\Local\Microsoft\Windows\4280
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[szympek]

Oczywiście skrypt rozwiązał problem.

oto nowe logi

OTL.Txt

[Landuss]

Wykonasz jeszcze jeden skrypt sprzątający po ZeroAccess, ale po kolei:

 

1. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system64

 

Klik w Unlock.

 

2. Wklej do OTL skrypt o takiej zawartości:

 

:Files

netsh winsock reset /C
C:\Windows\system64
C:\ProgramData\0oMXmXv1o.dat
C:\Windows\SysWow64\yld3f.com_
C:\ProgramData\46ea63e8
C:\Users\Szymek\AppData\Roaming\7d065f25
C:\Users\Szymek\AppData\Local\f577e523
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Komputer się zrestartuje i powstanie log, który zachowaj.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTl (bez ekstras) i log z usuwania z punktu 2.

[szympek]

Temat do zmknięcia. Cos mi nie poszło z kolejnym skryptem i system przestal startować. Poszedł format. Dzięki za pomoc. Jeszcze małe pytanko na koniec. Jak skutecznie bronić się na przyszłość?

Edytowane 12 Lipca 2012 przez Landuss
Po prostu uważaj gdzie wchodzis, w co klikasz i co pobierasz na dysk. Wtedy powinieneś uniknąć problemów. Temat zamykam w takim wypadku //Landuss