Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

przemo8848

Wirus "Polizja Biuro Służby kryminalnej"

Rekomendowane odpowiedzi

1. Nie ma u mnie takiego pliku:

G:\lge.exe

Pozatym wszystko wykonałem.

Bardzo Ci dziękuje za pomoc.

Pozdrawiam serdecznie :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@Ania92

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-09-25 23:09:15 | 000,000,004 | ---- | C] () -- C:\Users\Przyczynki\AppData\Roaming\settings.ini

[2013-09-11 17:56:56 | 000,071,680 | ---- | C] () -- C:\Users\Przyczynki\AppData\Roaming\data.dat

[2013-09-26 17:13:27 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

[2013-09-26 17:13:27 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

O20 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000 Winlogon: Shell - (C:\Users\Przyczynki\AppData\Roaming\data.dat) - C:\Users\Przyczynki\AppData\Roaming\data.dat ()

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O4 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000..\Run: [Device Detector] DevDetect.exe -autorun File not found

O3 - HKU\S-1-5-21-3656144410-1901210226-3104923090-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

 

:Files

C:\Users\Przyczynki\AppData\Roaming\data.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.

 

2) Użyj Adw-Cleaner z opcji USUŃ http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/

Daj z tego raport.

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

 

3) Zrób nowy log z OTL

 

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

 

F.

 

 

 

 

************************************

 

---------->>@aprwdz

 

to był/jest plik na jakiejś pamięci przenośnej .

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

----------->>@Ania92

 

Raport z Adw-Cleaner jest z opcji SCAN, a powinien być z opcji CLEAN.

 

Kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam wszystkich

 

Znajomy złapał tego wirusa - co ciekawe komputer chroniony aktualnym Nortonem.

 

Uruchomiłem adw-cleanera, który coś tam wykrył, coś pokasował (niestety nie mam logów).

Wygląda na to że wirus został uszkodzony.

 

Wcześniej pojawiało się białe tło z "polizją", teraz zostaje tylko białe tło i nic się dalej nie dzieje.

Logując się jako drugi użytkownik na tym komputerze - nie ma problemu i wszystko działa.

Tryb awaryjny również bez problemu.

 

OTL: http://wklej.to/jOErS

Extras: http://wklej.to/dWw4Y

 

Bardzo proszę o pomoc

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

------------>>@hellfirecc

 

W logach nie ma infekcji.

Szkoda, że na własną rękę usuwałeś, teraz nie wiadomo, co poszło "nie tak".

 

Był używany ComboFix - pokaż tamten log z niego - o ile jesZcze go masz.

 

Zrób logi z FRST http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

 

F.

 

(nie śpisz się - idę już spać)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

------------>>@hellfirecc

 

W logach nie ma infekcji.

Szkoda, że na własną rękę usuwałeś, teraz nie wiadomo, co poszło "nie tak".

 

 

No niestety - rutyna.

Parę razy już tą "polizję" widziałem, za każdym razem wylatywało bez zgrzytów, a tym razem jakaś lipa.

 

Tym razem kolejność była taka - właściciel komputera najpierw skanował Norton AV i tu nie wiem co się działo, podobno Norton "nic nie znalazł".

Potem ja uruchomiłem adw-cleanera i po tej operacji już było "popsute".

Na koniec jeszcze zadziałałem ComboFix.

 

Ale popsuł albo Norton, albo adw-cleaner, albo "samo" się popsuło.

 

W każdym razie znalazłem coś takiego w logu FRST: http://wklej.to/fpere

HKU\mieczysław\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\mieczysław\Dane aplikacji\cache.dat [ 2010-12-09] () <==== ATTENTION

 

wywaliłem (i klucz i ten cache.dat) i system wstał.

 

W każdym razie dzięki za pomoc i dobrej nocy życzę :-)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

---------->>@hellfirecc

 

Usuń jeszcze plik C:\Documents and Settings\mieczysław\Dane aplikacji\cache.ini

 

Adw-Cleaner usuwa tylko sponsorskie śmieci, w ogóle nie usuwa infekcji, wiec nie mógł niczego popsuć.

 

Kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

FRST - niczego nim nie usuwaliśmy, więc nie ma Kwarantanny - możesz go usunąć albo sobie zostawić.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam. Znajomy miał zarażony komputer tą infekcją. Udało mu się ją usunąć programem Malwarebytes Anti-Malware. Jednakże ma wątpliwości co do usunięcia infekcji oraz pozostałości.

Przedstawiam aktualne logi z OTL:

OTL: http://wklej.to/le942

Extras: http://wklej.to/B3L13

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

----------->>@Mathi93

 

Po tej infekcji pozostał jeszcze 1 plik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-09-28 15:06:59 | 000,000,004 | ---- | C] () -- C:\Users\Olsen\AppData\Roaming\settings.ini

 

:Files

C:\Users\Olsen\Documents\cc_*.reg

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{338A7DD7-4924-4e5c-B812-9768B947FB91}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] /64

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] /64

"Start Page"="http://www.google.com/"

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Lekka poprawka, otwórz OTL i wklej:

:OTL 
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST31000528AS_5VP4YEVQXXXX5VP4YEVQ&ts=1378137700
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST31000528AS_5VP4YEVQXXXX5VP4YEVQ&ts=1378137700
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:96D0C06F

Wciśnij Wykonaj skrypt. Nie podawaj z tego raportu .

 

W OTL użyj opcji Sprzątanie .

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

OTL powinien po użyciu opcji Sprzątanie usunąć się? Kiedy wykonałem ostatni skrypt, po resecie OTL się usuwa z systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Hej Hej mam ten sam problem i powiem szczerze że jestem mało kumata w tych tematach.

Jedyne do czego udało mi się dojść to uruchomienie trybu awaryjnego z wierszami poleceń i uruchomienie OTL

 

Chyba chodzi wam o te raporty

 

Ale tu zaczynają się już maksymalne schody ponieważ nie mam pojęcia co terez mam usunąć i jak.

Jak mogę to proszę o pomoc łopatologiczną i wytłumaczenia jak dziecku krok po kroku co mam robić :P

 

Extras.Txt

OTL.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20 - HKCU Winlogon: Shell - (C:\Users\Ania\AppData\Roaming\data.dat) - C:\Users\Ania\AppData\Roaming\data.dat ()

O20 - AppInit_DLLs: (c:\progra~2\bitguard\261673~1.238\{c16c1~1\bitguard.dll) - File not found

 

:Files

C:\Users\Ania\AppData\Roaming\settings.ini

C:\Users\Ania\AppData\Roaming\data.dat

C:\Users\Ania\AppData\Roaming\data.ini

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zapisz raport, który pokaże się po restarcie.

 

a jak mam to zrobic?

 

 

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

 

----------->>@Aneczkaaa

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

W Trybie Normalnym:

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

 

F.

 

 

 

 

 

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zapisz raport, który pokaże się po restarcie.

 

a jak mam to zrobic?

nie musisz tego robić.

ale zrób nowy log z OTL.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

nie musisz tego robić.

ale zrób nowy log z OTL.

 

F.

 

 

 

 

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

gdy to wkleiłam i kliknęłam wykonaj skrypt od razu pojawiło mi się [emptytemp] ................... i nic nie restartuje mi się komputer i nie wiem co dalej

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

 

 

ok wyłączyłam komputer i uruchomiłam w trybie normalnym

 

normalny pulpit i wszystko jak gdyby nic

Przesyłam log

 

czy juz wszystko ok?

 

to oznacza, że Twój System nie jest przystosowany do używania Notatnika (obcina lewy dolny róg Skryptu).

wymuś twardy restart komputera, do Trybu Normalnego, i zrób nowy log - zobaczymy, co się usunęło.

 

F.

 

 

ooo i jeszcze takie coś mi wyskoczyło

OTL.Txt

Nowy dokument tekstowy.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

----------->>@Aneczkaaa

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found

O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found

O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.9.2)

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\AutoRun\command - "" = D:\otyh.cmd

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\explore\Command - "" = D:\otyh.cmd

O33 - MountPoints2\{55708192-9081-11dd-bc9b-001644b42f9f}\Shell\open\Command - "" = D:\otyh.cmd

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

Raportu z tego już nie dawaj.

Potem kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...