Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Loniu

Komputer zostal zablokowany z powodu naruszenia prawa polskiego

Rekomendowane odpowiedzi

Nie wiem czy nie za wcześnie zresetowałem kompa. Raport po restarcie pokazał się przy próbie uruchomienia OTL. Zapisałem go na pulpit, zamknąłem bo musiałem czymś się zająć i klops - pliku nie ma o.O i nie mogę go znaleźć. :/

 

Log:

http://wklej.to/IuvkC

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@Ostach

 

C:\Users\Ostach\AppData\Roaming\bot.exe

 

znasz to?

 

Jeśli nie znasz, to zrobisz to:

Uruchomisz OTL i w oknie Własne opcje skanowania/Skrypt wkleisz to:

:OTL

O4 - HKU\S-1-5-21-3334842768-571363133-859824749-1000..\Run: [WMNetMgr] C:\Users\Ostach\AppData\Local\Microsoft\Windows\4818\WMNetMgr.exe ()

 

:Files

C:\Users\Ostach\AppData\Roaming\hellomoto

C:\Users\Ostach\AppData\Local\Microsoft\Windows\4818

C:\Users\Ostach\AppData\Roaming\bot.exe

 

:Commands

[emptytemp]

Klikniesz w Wykonaj Skrypt. Zatwierdzisz restart komputera. Zapiszesz raport, który pokaże się po restarcie.

Następnie uruchomisz OTL ponownie, tym razem klikniesz Skanuj.

Pokażesz nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Jeśli natomiast znasz ten "bot.exe", to ze Skryptu usuniesz całą linijkę C:\Users\Ostach\AppData\Roaming\bot.exe i dopiero wtedy przystąpisz do usuwania.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@Ostach

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

(choć właściwie nie wiem, czy jest sens usuwać OTL, bo po usunięciu pierwszej wersji "UKASH'a" u Ciebie zjawiła się następna wersja tej infekcji. To oznacza, że jest bardzo duże ryzyko, że wkrótce u Ciebie zjawi się następna wersja.

Ponieważ ta infekcja dostaje się na komputer wyłącznie poprzez luki w nieaktualizowanych programach, dodatkach, wtyczkach, to najwidoczniej coś masz nieaktualizowanego. Najczęściej ta infekcja wykorzystuje nieaktualizowaną Javę lub Adobe Flash Player.)

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam,

mam podobny problem jak poprzednicy włączam komputer i pokazuje się komunikat, że komputer został zablokowany przez złamanie prawa rzeczpospolitej polskiej itd. Komputer uruchomił się w trybie awaryjnym więc zrobiłem skan OTLem, oto wynik:

http://wklej.to/PM8zb

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@vader112

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-10-31 12:50:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\hellomoto

[2012-10-31 12:51:24 | 000,001,062 | ---- | C] () -- C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk

[2012-10-31 12:51:19 | 083,023,306 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

[2012-10-31 12:51:15 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe

O4 - Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

[2011-10-15 14:01:44 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml

FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddrnw"

IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner. Kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dzięki za szybką odpowiedź. Zrobiłem tak jak napisałeś i po wykonaniu skryptu raport wyglądał tak:

http://wklej.to/qTvgz

 

zrestartował się i niestety ponownie wyskoczył ten komunikat o złamaniu prawa... uruchomiłem go ponownie w trybie awaryjnym i wykonałem jeszcze jeden skan OTL:

http://wklej.to/gOgjB

 

zrobiłem też Adw-cleaner:

http://wklej.to/mgrMp

 

i po restarcie niestety dlaje to samo :(

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@vader112

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-10-31 13:59:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\hellomoto

O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe (Microsoft Corporation)

 

:Files

C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam,

 

Mam z tym syfem problem w pracy, niestey skanowanie malwarebytes nie pomaga po restarcie wyskakuje komunikat.

Mam pytanie jak generujecie te logi do OTL?

 

Pozdrawiam

Mateusz

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@rychu-893

 

>http://forum.pclab.pl/topic/612561-Standardowe-instrukcje-po-zainfekowaniu-systemu/

Jak się nie będzie dało w Trybie Normalnym, to spróbujesz w Trybie Awaryjnym (F8 przed startem Systemu).

Log wklej na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------------------------------->>>@vader112

 

Tak, jest OK. Kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

robię właśnie update tej javy nieszczęsnej

Ta infekcja najczęsciej wykorzystuje luki w nieaktualizowanej Javie, ale potrafi wykorzystywać też luki w innym nieaktualizowanych programach, dodatkach.

Możesz sobie zrobić log z Security Check >http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page__p__9515#entry9515

Obiekty zaznaczone na czerwono potrzebują pilnie zauktualizowania, bo mają luki.

Tu są podane linki do niektórych aktualizacji >

>http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dzięki za podpowiedź, zniszczyłem go(przynajmniej na chwile) ESET Online Scanner, zrobił skan znalazł cos więcej niz malware, chyba pliki win32.

 

 

Pozdrawiam

Mateusz

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------->>@SzlachcicPG

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-09-17 13:18:22 | 000,000,000 | ---D | M] -- C:\Users\Kamil\AppData\Roaming\hellomoto

O4 - HKLM..\Run: [sensApi] C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386\SensApi.exe ()

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

 

:Files

C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

------------->>@SzlachcicPG

Jest OK, w nowym logu nic podejrzanego.

Na wszelki wypadek przeskanuj komputer przy pomocy > MBAM

Na końcu kliknij na Usuń zaznaczone.

 

Teraz doszedł problem z siecią. Nie łączy się ani przez WiFi ani przez kabel :)

To już nie moja "działka".

Ale ten dział jest także do pomocy w problemach z siecią, więc może znajdzie się tu ktoś, kto będzie potrafił Ci pomóc?

Tego nie wiem.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Serdecznie dziękuję za pomoc :)

Wszystko wróciło do normy. A z brakiem sieci sobie już poradzę :)

 

Jeszcze raz dziękuję F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Serdecznie dziękuję za pomoc :)

Wszystko wróciło do normy. A z brakiem sieci sobie już poradzę :)

 

Jeszcze raz dziękuję F.

Spróbuj tego:

Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

witam.

mam ten sam problem już drugi dzień. skanowałem system programem malwarebytes anti-malware oraz wyczyściłem cc cleanerem i nic nie pomogło.

wrzucam logi z otla

http://wklej.to/FCt2N

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@Pattriick

 

Po infekcji pozostał już tylko jeden plik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O3 - HKU\S-1-5-21-2310037176-1998221821-351828559-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

 

:Files

C:\ProgramData\netdislw.pad

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

--------->>@Pattriick

 

W nowym logu nie ma już niczego podejrzanego, więc kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...