Komputer został zablokowany

azalel123 · 11 Styczeń 2013 17:47

Witam

Mam następujący problem, złapałem dość popularny wirus blokujący komputer i żądający wpłaty na konto. Jest jednak jedno ale, wirus włącza w każdej sytuacji, bez różnicy czy internet jest włączony czy nie, OTL ani innych tego typu programów nie posiadałem na komputerze. Próbowałem wchodzić w zwykły tryb awaryjny ale wirus i tak zaczyna działać po kilku sekundach i nie mam możliwości skopiowania OTL z pendrive, nie mam pojęcia czy można to zrobić z samego wiersza polecenia(?) ponieważ nigdy nie miałem tego typu problemów więc po prostu nie była mi na ten czas ta wiedza.

Atis · 11 Styczeń 2013 17:51

Uruchom OTL z pendrive.

Tryb awaryjny z wierszem polecenia i wpisz: X:\OTL.exe

X - podstawiasz literę którą oznaczony jest pendrive.

Nie znasz litery to użyj sposobu z notatnikiem.

W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz
Pliki typu -> Wszystkie pliki
Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png

azalel123 · 11 Styczeń 2013 18:15

a oto mój prześliczny log:

http://www.wklej.org/id/921796/

Atis · 11 Styczeń 2013 18:43

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\xhunter1.sys – (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva396.sys – (XDva396) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva393.sys – (XDva393) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva392.sys – (XDva392) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva391.sys – (XDva391) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva387.sys – (XDva387) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva386.sys – (XDva386) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva385.sys – (XDva385) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva375.sys – (XDva375) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva365.sys – (XDva365) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva349.sys – (XDva349) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva332.sys – (XDva332) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva319.sys – (XDva319) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\vtany.sys – (vtany) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\VcommMgr.sys – (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\VComm.sys – (VComm) DRV - File not found [Kernel | On_Demand | Stopped] – E:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\RAFA~1\USTAWI~1\Temp\PWD7C9.tmp – (GarenaPEngine) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\RAFA~1\USTAWI~1\Temp\extrem.sys – (extrem.sys) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) DRV - File not found [Kernel | Boot | Stopped] – System32\Drivers\BTHidMgr.sys – (BTHidMgr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\vbtenum.sys – (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\btcusb.sys – (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btnetdrv.sys – (BT) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\BlueletSCOAudio.sys – (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\blueletaudio.sys – (BlueletAudio) O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-823518204-839522115-1003…\Toolbar\ShellBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-823518204-839522115-1003…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-823518204-839522115-1003…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-220523388-823518204-839522115-1003…\Run: [AdobeBridge] File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\qcoxskxy.exe () O4 - Startup: C:\Documents and Settings\Rafał\Menu Start\Programy\Autostart\qcoxskxy.exe () O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () O20 - HKLM Winlogon: UserInit - (C:\Program Files\ldfrIiBL\qcoxskxy.exe) - C:\Program Files\ldfrIiBL\qcoxskxy.exe () O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browser manager\2.3.796.11{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll) - File not found O32 - AutoRun File - [2013-01-11 19:20:44 | 000,000,003 | RHS- | M] () - I:\autorun.inf – [FAT32] O33 - MountPoints2{9461901f-fe1b-11de-97f9-4d6564696130}\Shell\AutoRun\command - “” = I:\qhbfqx.exe O33 - MountPoints2{9461901f-fe1b-11de-97f9-4d6564696130}\Shell\open\Command - “” = I:\qhbfqx.exe O33 - MountPoints2{94619020-fe1b-11de-97f9-4d6564696130}\Shell - “” = AutoRun [2013-01-11 17:39:38 | 000,181,248 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\Rafał\wgsdgsdgdsgsd.exe [2013-01-11 18:38:08 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad [2013-01-11 18:22:46 | 000,002,981 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js [2013-01-11 17:39:50 | 000,000,786 | ---- | M] () – C:\Documents and Settings\Rafał\Menu Start\Programy\Autostart\runctf.lnk [2010-03-18 08:41:33 | 000,000,844 | ---- | C] () – C:\Program Files\Common Files\userInit.dll :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] “ServiceDll”=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

azalel123 · 11 Styczeń 2013 19:11

nowy log:

http://www.wklej.org/id/921835/

raport z usuwania:

http://www.wklej.org/id/921840/

Wszystko wydaje się działać jak należy, wirus przestał się pokazywać, tak więc dziękuję za pomoc.

Atis · 11 Styczeń 2013 19:21

Wklej i kliknij wykonaj skrypt:

:OTL IE - HKU\S-1-5-21-220523388-823518204-839522115-1003…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://www.bing.com/search?q={searchTerms}&r= IE - HKU\S-1-5-21-220523388-823518204-839522115-1003…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_3&babsrc=SP_ss&mntrId=fc4646f9000000000000001d9261aa81 IE - HKU\S-1-5-21-220523388-823518204-839522115-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GX&apn_dtid=YYYYYYB3PL&apn_uid=9A0EEA25-AED0-42A2-836E-FE65F9DB6006&apn_sauid=219AF3EC-D252-4EB3-98B5-3011297F86DD IE - HKU\S-1-5-21-220523388-823518204-839522115-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.defaultthis.engineName: “Veoh Web Player Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Ask.com” [2012-12-31 22:55:56 | 000,000,000 | —D | M] (XfireXO Community Toolbar) – C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\ugoec2p1.default\extensions{5e5ab302-7f65-44cd-8211-c1d4caaccea3} [2011-05-01 15:18:58 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\ugoec2p1.default\extensions\engine@conduit.com [2010-06-09 23:01:10 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\ugoec2p1.default\extensions\toolbar@ask.com [2012-11-13 22:22:30 | 000,002,536 | ---- | M] () – C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\ugoec2p1.default\searchplugins\browsemngr.xml [2013-01-11 17:39:38 | 000,181,248 | ---- | C] (Корпорация Майкрософт) – C:\Documents and Settings\Rafał\wgsdgsdgdsgsd.exe [2012-11-13 22:21:58 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

azalel123 · 11 Styczeń 2013 19:51

Z aktualizowaniem programów się wstrzymałem bo za parę dni i tak formatuje cały komputer, instaluje win7 64bit i będę przenosił tylko najważniejsze dla mnie pliki ale za to zrobiłem resztę i Malwarebytes Anti-Malware wykrył parę dość poważnych zagrożeń których się pozbyłem.

Jeszcze raz dziękuję za pomoc.