Departament policji - wirus


(Asik Stol) #1

Cześć,

tym razem zawirusowało komuter dziadka, u którego niestety nie da się uruchomić trybu awaryjnego z obsługą sieci, także wykonałam skany otl i wrzuciłam je na pendrive-a, mam nadzieję, że to nic nie zmieni :wink:

Z góry dziękuję (po raz kolejny) za pomoc :slight_smile:

http://wklej.org/id/889551/ - EXTRAS

http://wklej.org/id/889555/ - OTL


(Atis) #2

Nie pierwszy raz korzystasz z pomocy, więc może zapoznaj się w instrukcją.

Wszystkie opcje mają być ustawione na Użyj filtrowania :

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

  1. Uruchom system w normalnym trybie i odinstaluj:

Yahoo! Toolbar

My Global Search Bar

Ask Toolbar

RadioBar Toolbar

ICQ Toolbar

  1. Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

  1. Kliknij Skanuj i pokaż nowy log z OTL.

(Asik Stol) #3

Niestety ledwo włączyłam internet, znowu pokazał się komunikat:

Polska Policja, cyberprzestępczość department

paysafecard.

http://wklej.org/id/889654/ - to chyba raport z usuwania, bo komputer nie chciał go w ogóle na początku znaleźć.


(Atis) #4

Przestań wchodzić na zainfekowane strony internetowe.

Wkleiłaś raport z usuwania i teraz liczysz na jakiś cud?


(Asik Stol) #5

Ja nawet nie otwarłam internetu, tylko podłączyłam komputer do internetu! Dziadkowie mają jakiegoś liveboxa, muszą zmieniać ustawienia: select client software -> windows.

Ledwo się połączyło, a już wyskoczył komunikat…

Dodane 06.12.2012 (Cz) 17:22

Uruchomiłam komputer jeszcze raz w trybie awaryjnym.

Router jest odłączony, także komputer w ogóle nie ma możliwości połączenia się z internetem (z resztą ta możliwość i tak na tym komputerze nie działa w trybie awaryjnym).

Wykonałam raz jeszcze skany w OTL (tym razem wszystko było zaznaczone - użyj filtrowania. Przepraszam - poprzednio nie zauważyłam)

OTL: http://wklej.org/id/889683/

Extras: http://wklej.org/id/889690/


(Atis) #6

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Asik Stol) #7

Po restarcie systemu zarówno w trybie awaryjnym, jak i normalnym pokazuje się pulpit i nic na nim.

Dodane 06.12.2012 (Cz) 17:45

Mogę zrobić przywracanie systemu?


(Atis) #8

Skąd masz taką wersję OTL?

Wersja 3.2.70.1 ma błąd i powoduje uszkodzenie systemu.

Autor OTL od dawna udostępnia wyłącznie 3.2.69.0:

http://oldtimer.geekstogo.com/OTL.exe

Wykonaj przywracanie systemu.


(Asik Stol) #9

Niestety wykonałam “ostatnia znana konfiguracja” i dalej nic.

Dodane 06.12.2012 (Cz) 18:05

Jedynym działającym poleceniem jest Menedżer zadań, ale tam również nie da się otworzyć programu OTL. Każdy inny - owszem.


(Atis) #10

Widzisz pulpit to spróbuj uruchomić menedżer zadań.

Ctrl + Alt + Del -> Plik -> Nowe zadanie:

C:\WINDOWS\system32\Restore\rstrui.exe

Wybierz punkt przed wystąpieniem uszkodzenia systemu.


(Asik Stol) #11

Otwiera się okno: Przywracanie systemu. Niestety jego zawartość od 5 minut pozostaje pusta.


(Atis) #12

Pozostaje OTLPEUSB na pendrive i ręcznie podmienić rejestr:

Zobacz opis od słów sur Clef USB:

http://forum.malekal.com/otlpe-live-t23453.html#p213090


(Asik Stol) #13

Rozumiem, że mam ściągnąć ten program i postępować zgodnie z instrukcjami?

Jak ręcznie podmienić rejestr? Mam wkleić w okno Włąsne opcje skanowania/Skrypt to, co podane na tej stronie, czy muszę coś zmienić? Do którego momentu mam podążać za wskazówkami na tej stronie?

Przepraszam, ale to są totalnie nowe rzeczy dla mnie, których po prostu nie rozumiem…


(Atis) #14

W ten sposób można utworzyć bootowalny pendrive z którego można uruchomić komputer.

Za pomocą tego można normalnie przeglądać dysk i kopiować pliki.

Rejestr można przywrócić wykorzystując punkty przywracania systemu.

Otwierasz C:\System Volume Information

W środku będą foldery o nazwach _restore{numerki}

Wybierasz folder który został utworzony przed uszkodzeniem systemu.

C:\System Volume Information_restore{numerki}\RPX\Snapshot

W środku są pliki rejestru:

_REGISTRY_USER_.DEFAULT

_REGISTRY_MACHINE_SECURITY

_REGISTRY_MACHINE_SOFTWARE

_REGISTRY_MACHINE_SYSTEM

_REGISTRY_MACHINE_SAM

Zmieniasz nazwy na DEFAULT, SECURITY, SOFTWARE, SYSTEM, SAM

Pliki nie mają żadnego rozszerzenia.

Pliki kopiujesz do folderu: c:\windows\system32\config


(Asik Stol) #15

Niestety zatrzymuję się na punkcie otwarcia okna OTLPEUSB i nie wczytuje w ogóle USB Key - jakby nie miał żadnych wejść USB.


(Atis) #16

Nie widzę w tym opisie żadnego USB Key.

Pobrałaś wersję na USB:

http://sd-4.archive-host.com/membres/up … nstall.exe


(Asik Stol) #17

Tak, moja wersja otwiera się po angielsku. Chodzi o to okno gdzie zaznacza się vista lub seven. Tam nie znajduje żadnego “sa cle usb”


(Atis) #18

Podłączyłaś pusty pendrive?


(Raqq) #19

Jest metoda aby trochę szybciej i mniej boleśnie załatwić tego trojana. Bez trybów awaryjnych pendriveów itp. na szczęście udało mi się to zrobić bo już prawie laptop leciał o ścianę :wink:

W laptopie mam tylko jednego użytkownika więc opcji przelogowania na innego też nie miałem. Niestety ale nie na wszystkich komputerach będzie to możliwe, a dlaczego napiszę dalej.

Pacjent: Sony Vaio - Windows 7 Pro

Opiszę jak u mnie cała sprawa wyglądała.

Włączam komputer, loguje się do użytkownika, na chwilę pokazuje się pulpit i nagle wyskakuje blokada “policji” - poklikałem parę minut w ciemno, wkur… się i pomyślałem, no dobra to czas coś z tym zrobić;)

Naciskamy Ctrl+Alt+Del, jedyne co możemy zrobić to wylogować się - i z tej opcji właśnie skorzystamy:) znów pokazuje się na chwilę pulpit i komputer przechodzi do okna logowania.

Jestem już dość długo użytkownikiem windowsa i zdążyłem zaobserwować to że jeżeli mamy uruchomiony jakiś program i wprowadziliśmy w nim jakiekolwiek zmiany to przed wylogowywaniem lub też wyłączeniem komputera uruchomiony program się pyta czy zapisać zmiany, windows również się pyta czy na pewno wylogować skoro mamy uruchomiony program itd., wstrzymuje wtedy akcje wylogowywania i czeka na reakcję użytkownika. I to nam ratuje za przeproszeniem du…pę w naszym nieszczęsnym przypadku;)

Teraz niestety zła wiadomość o której pisałem wcześniej, czyli u kogo ta metoda może zadziałać. Niestety chyba nie u wszystkich:( Mianowicie żeby cała operacja się udała musimy mieć na pulpicie jakiś plik, który jesteśmy w stanie bardzo szybko otworzyć i zmodyfikować. Mi się udało to za pomocą pliku txt, który na szczęście miałem na pulpicie i który w notatniku otwiera się błyskawicznie.

Czyli jeżeli mamy na pulpicie np. jakiś plik tekstowy to jesteśmy uratowani:)

No to teraz napisze krok po kroku jak wyłączyć blokadę:

Włączamy normalnie komputer.

W moim przypadku pokazuje się okno logowania (może być tak, że windows od razu zaloguje się do domyślnego użytkownika).

Wiec logujemy się.

Pokazuje się na chwilę pulpit, otwieramy szybko plik tekstowy i szybko modyfikujemy pisząc bazgroły (radzę się nie rozpisywać bo za dużo czasu nie ma;))

Komputer nam się blokuje trojanem “policja”.

Naciskamy Ctrl+Alt+Del i wybieramy “Wyloguj”

System zamyka wszystkie aplikacje, włącznie z blokadą:)****, ale zatrzymuje się na notatniku bo plik został zmodyfikowany i program nie może zostać zamknięty bez interwencji użytkownika.

W tym momencie możemy już sobie pogratulować, gdyż klikając guzik “Nie zamykaj” system nie wyloguje się, a my możemy już z niego korzystać bez blokady.

Tak oto właśnie przechytrzyliśmy blokadę nie płacąc 300pln;)

Następnym krokiem oczywiście powinno być zainstalowanie oprogramowania do usuwania trojanów i wywalenie ścierwa z systemu. W przeciwnym wypadku po restarcie komputera historia się powtórzy i komputer znów nam się zablokuje.

Mam nadzieję, że komuś pomogłem tą przydługawą opowieścią:)

To tyle z mojej strony, pozdrawiam


(Asik Stol) #20

No niestety w moim przypadku mogłam normalnie korzystać z systemu, także zapamiętam na przyszłość - tym razem jednak nie pomogło.

Wczoraj w akcie desperacji zainstalowałam na nowo całego windowsa XP, także o 1.00 komputer był zdatny do użytku. Na szczęście nie było na nim żadnych programów, ani dokumentów, które były potrzebne, więc spokojnie można było ten ostateczny krok podjąć. Teraz tylko pozostaje problem ponownego wgrania oprogramowania liveboxa, bo jak na razie o internecie ani widu, ani słychu.

Dzięki za pomoc mimo wszystko! !!