woras83 Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Witam serdecznie , Bardzo proszę o pomoc , gdyż zaatakował mój komputer(laptop) wirus.(obecnie pisze z innego komputera) System został zablokowany przez okno a w tytule widnieje" "koputer został zablokowany z powodu naruszenia prawa polskiego". W zainfekowanym laptopie nie mam programu antywirusowego. Poniżej przesyłam plik ze skanu programu OTL zainstalowanego w trybie awaryjnym na zainfekowanym laptopie. Z góry bardzo dziękuję za pomoc . Przepraszam, ale zaponiałem dodać plik extras , więc dosyłam w załączniku. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Prócz infekcji UKASH także Live Security Platinum oraz liczne paski adware .... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [sppcomapi] C:\Users\woras\AppData\Local\Microsoft\Windows\3177\sppcomapi.exe () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NWEReboot] File not found :Files C:\ProgramData\B7E858860001EE9423FBBA44B4EB2367 C:\Users\woras\AppData\Local\Microsoft\Windows\3177 C:\Users\woras\AppData\Roaming\hellomoto C:\Users\woras\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\woras\Desktop\Live Security Platinum.lnk C:\Users\woras\Desktop\Continue SweetIM Installation.lnk C:\Users\Public\Desktop\Free Offers.lnk C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\Users\woras\AppData\Roaming\Mozilla\Firefox\Profiles\q6dv2aiv.default\searchplugins\askcom.xml C:\Users\woras\AppData\Roaming\Mozilla\Firefox\Profiles\q6dv2aiv.default\searchplugins\conduit.xml C:\Users\woras\AppData\Roaming\Mozilla\Firefox\Profiles\q6dv2aiv.default\searchplugins\daemon-search.xml C:\Users\woras\AppData\Roaming\Mozilla\Firefox\Profiles\q6dv2aiv.default\searchplugins\sweetim.xml :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{84932BA2-B48E-4F50-991C-C02B6DF4357D}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Odinstaluj adware: - Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, Conduit Engine, DAEMON Tools Toolbar, MyAshampoo Toolbar, NCH EN Toolbar, SweetPacks Toolbar for Internet Explorer 4.5. - W menedżerze dodatków Firefox: Ask Toolbar, Conduit Engine, DAEMON Tools Toolbar, MyAshampoo Community Toolbar, NCH EN Community Toolbar 3. Uruchom AdwCleaner i uruychom opcję Delete. Wynikowo powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
woras83 Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Serdecznie Dziękuję za pomoc w odblokowaniu komputera wg. Państwa wytycznych przesyłam w załączniku logi i czekam na dalsze instrukcje, Pozdrawiam Mam jeszcze pytanie, czy może mi Pani polecić z Waszych zbiorów programów jakiś darmowy program antywirusowy? , który będzie chronił mój system na przyszłość, gdyż Obecnie nie mam żadnego "antywirusa" Czy w zakładce Waszej (Skanery, szczepionki, płyty startowe, specjalne narzędzia) znajde coś do ogólnej codziennej ochrony komputera? 07102012_095110 - LOG z usuwania OTL z pkt 1.txt AdwCleanerS1.txt OTL - nowy LOG.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Wszystko wykonane. Przejdź do: 1. Mini poprawka na odpadki po paskach. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1012529885-1585398113-40726534-1000\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found FF - prefs.js..extensions.enabledItems: {37483b40-c254-4a72-bda4-22ee90182c1e}:3.6.0.10 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 [2012/05/30 14:08:58 | 000,000,000 | ---D | M] (NCH EN Community Toolbar) -- C:\Users\woras\AppData\Roaming\mozilla\Firefox\Profiles\q6dv2aiv.default\extensions\{37483b40-c254-4a72-bda4-22ee90182c1e} O3 - HKU\S-1-5-21-1012529885-1585398113-40726534-1000\..\Toolbar\WebBrowser: (no name) - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No CLSID value found. O3 - HKU\S-1-5-21-1012529885-1585398113-40726534-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeszcze aktualizacje na widoku, ale w pierwszej kolejności kończenie czyszczenia. Był tu program rogue Live Security Platinum, co sugeruje, iż może być coś więcej gdzieś zagrzebane. Mam jeszcze pytanie, czy może mi Pani polecić z Waszych zbiorów programów jakiś darmowy program antywirusowy? , który będzie chronił mój system na przyszłość, gdyż Obecnie nie mam żadnego "antywirusa"Czy w zakładce Waszej (Skanery, szczepionki, płyty startowe, specjalne narzędzia) znajde coś do ogólnej codziennej ochrony komputera? Nie, w tym temacie są tylko podręczne narzędzia ekspresowe dedykowane walce z określonymi szkodnikami. Brak jakiejkolwiek ochrony. Natomiast jeśli rzecz o pełnowartościowych softach ochronnych to z darmowych do wyboru np.: Antywirus: Avast, AVG, Panda Cloud Antivirus, Microsoft Security Essentials Pakiet: COMODO Internet Security Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Odnośnik do komentarza
woras83 Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Dziękuję. Wszystko wg wytycznych zrobione pkt.1,2,3. W pkt 4 skan programem Malwarebytes Anti-Malware wykrył 3 błędy. W załączniku raport. Czeka na ewentualne dalsze instrukcje. Z góry dziękuję. mbam-log-2012-07-10 (19-07-45).txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. W kwestii wyników w MBAM. Cóż, keygeny ... za to nie podłożę głowy na pniu. Natomiast to jest rzeczywiście infekcja, kopia zapasowa pendrive, który był zainfekowany: Wykrytych plików: 3C:\Users\woras\Desktop\FUX SYSTEM 2\pendrive 4g\b.com (Spyware.OnlineGames) -> Nie wykonano akcji. To z pewnością należy usunąć. 2. I możemy przejść do zakończenia, czyli podstawowych aktualizacji: KLIK. Wykaz wersji zainstalowanych w Twoim systemie: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak pakietu SP1"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX ----> odinstaluj"McAfee Security Scan" = McAfee Security Scan Plus ----> odinstaluj (jak sądzę przemycony w paczce Adobe sponsor) PS. Również polecam rozważenie dobrania alternatywy dla GG10. Ten komunikator jest po prostu nieludzki, obciąża zasoby i głównie podsuwa reklamy. Do wglądu mój artykuł Darmowe komunikatory. Tam znajdziesz opisy zamienników: WTW, Miranda, Kadu, AQQ. Pogrubiony jest przeze mnie polecany. Cechy: portable, lekki, brak reklam, dobra obsługa Gadu, możliwość ekspansji przez wtyczki i alternatywne kompozycje. . Odnośnik do komentarza
woras83 Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam, Usunąłem za pomocą MBAM zainfekowane 3 pliki. Po ponownym skanie nie wykrywa nic już. NAstępnie odinstalowałem programy z pkt. 2 . I zrobiłem aktuaalizację Windows Update. Dziękuję za poradę w sprawie komunikatorów. Mam jednak problem, gdyż nie mogę otworzyć programu Microsoft Word Starter. Chyba go musiałęm usunąć w panelu sterowania , JAk chce go zainstalować ponownie poprzez zakłądke Microsoft ofice 2010/ Użyj wersji Office Starter 2010 : wyskakuje:Wystąpił problem podczas instalaji, Ten produkt należ yzainstalować na dysku Q. Upewnij się, że dysk Q nie jest używany i spróbuj ponownie. Proszę o pomoc , bo bardzo potrzebny mi legalny word i exel , który wcześniej mi działał , przed infecją . pozdrawiam Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 (edytowane) Mam jednak problem, gdyż nie mogę otworzyć programu Microsoft Word Starter.Chyba go musiałęm usunąć w panelu sterowania , JAk chce go zainstalować ponownie poprzez zakłądke Microsoft ofice 2010/ Użyj wersji Office Starter 2010 : wyskakuje:Wystąpił problem podczas instalaji, Ten produkt należ yzainstalować na dysku Q. Upewnij się, że dysk Q nie jest używany i spróbuj ponownie. Proszę o pomoc , bo bardzo potrzebny mi legalny word i exel , który wcześniej mi działał , przed infecją Przed ponowieniem instalacji wyczyść ślady Office 2010 posługując się tymi narzędziami Microsoftu (z Metoda 2 + 3): KB290301. Jeśli instalacja się uda, zaktualizuj pakiet do statusu SP1. . Edytowane 15 Sierpnia 2012 przez picasso 15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi