Witam mieszkam w Angli od paru lat i teraz zdarzylo mi sie zlapac wirusa.
Ktory jest znany pod nazwa Metropolitan Police Virus jest to wirus ktory podaje sie za lokalna policje i wymusza od ludzi zaplacenie danej kwoty pieniedzy
przelewem.
Wyskakuje on na caly pulpit i nie mozna nawet go zrzucic alt+tab’em ani manager zadan nie dziala.
Mam wylaczone przywracanie systemu , wiec wszedlem na tryb awaryjny , lecz wtedy wyskakuje mi bialy ekran z napisem ’ Your connection is beeing established’ ,
nie mowiac ze ‘beeing’ pisze sie przez jedno ‘e’ co wydaje sie strasznie dziwne nie mowiac jeszcze ze pod tym napisem pisze cos po niemiecku wyczytalem ze to tez jest powiazane
z tym wirusem potem udalo mi sie dostac do pulpitu przez odpalenie trybem awaryjnym z wierszem polecen.
Przeskanowalem komputer Malwarebytes i usunalem potecjalne zagrozenia , lecz po uruchomieniu komputera jeszcze raz wirus znowu sie odpala.
Prosze o pomoc powinnienem dac rade dostarczyc logi z HijackThis i Combofix’a.
(Przepraszam za pisownie , lecz nie mam polskich znakow na tym komputerze.
stream
6 Marzec 2012 16:01
#2
OTL, GMER, RSIT, DSS i inne instrukcje
Wykonaj instrukcje zawartą w pierwszej wypowiedzi.
OTL moge odpalic tylko w Trybie Awaryjnym bo przeszkadza mi w tym wirus.
Nie wrzuce go na pulpit bo to Tryb Awaryjny wiec jedyna rzecz jaka moge zrobic to odpalic go z pendrive’a.
stream
6 Marzec 2012 16:13
#4
Spróbuj, choć nie gwarantuje że log utworzy się.
Skanuje .
– Dodane 06.03.2012 (Wt) 17:29 –
Log z OTL :
http://wklejto.pl/119311
Acorus
6 Marzec 2012 16:47
#6
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O4 - HKLM…\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe (Onet.pl) O4 - HKCU…\Run: [VX2bt1oYNKCLnkO] C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe (Cutting Edge Software Inc.) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKCU Winlogon: Shell - (C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe) - C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe (Cutting Edge Software Inc.) O20 - HKCU Winlogon: UserInit - (C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe) - C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe (Cutting Edge Software Inc.) [2012-03-04 21:01:33 | 000,304,640 | ---- | C] (Cutting Edge Software Inc.) – C:\Users\Ewa\AppData\Roaming\h6s5ruij653.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Extras też.
Jesli uruchomi sie na nowo komputer , uruchomi sie normalnie i wtedy otworzy sie wirus po czym nie bd’e mogl nic zrobic. Zobacze czy wirus sie odpali jesli tak to zrobie jeszcze raz log z OTL i wysle Ci z extras’em razem.
Acorus
6 Marzec 2012 16:59
#8
Działaj w trybie awaryjnym.
Po odpaleniu komputera normalnie jest teraz czarny ekran z jakiegos powodu , odpale jeszcze raz awaryjny i zrobie nastepny log po czym Ci go wysle i wtedy od tamtad mozemy jeszcze raz zaczac.
Troszke sie pogubilem , i przepraszam za marnowanie czasu.
– Dodane 06.03.2012 (Wt) 18:25 –
Log’i z OTL :
Glowny : http://www.wklejto.pl/119316
Extras : http://www.wklejto.pl/119317
– Dodane 06.03.2012 (Wt) 19:14 –
Czekam na odpowiedz.
Acorus
6 Marzec 2012 20:28
#10
Odinstaluj Babylon toolbar,Winamp Toolbar,Yahoo! Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://uk.ask.com/?l=dis&o=14776 IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=88888 IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=VQ&apn_dtid=YYYYYYFEGB&apn_uid=0197C479-7BD7-45ED-9D52-F1808ABD06F5&apn_sauid=113CD865-110F-429D-BEC6-DBE1DF376D00& IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.search.param.yahoo-fr: “chrf-ytbm” FF - prefs.js…browser.search.param.yahoo-fr-cjkt: “chrf-ytbm” FF - prefs.js…browser.search.param.yahoo-type: “${8}” FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.1.3 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.13.1.18107 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=toolbar2&q= ” O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.) O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.5\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.5\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKLM…\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.) O3 - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
Po wykonaniu powyzszych czynnosci podaje nowe logi.
Logi OTL :
Glowny: http://www.wklejto.pl/119411
Extras: http://www.wklejto.pl/119412
Acorus
7 Marzec 2012 17:37
#12
Wyłącz przeglądarki.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://uk.ask.com/?l=dis&o=14776 IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=88888 IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=VQ&apn_dtid=YYYYYYFEGB&apn_uid=0197C479-7BD7-45ED-9D52-F1808ABD06F5&apn_sauid=113CD865-110F-429D-BEC6-DBE1DF376D00& IE - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.13.1.18107 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=toolbar2&q= ” [2011-10-04 22:27:34 | 000,002,574 | ---- | M] () – C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\t1zpqbbz.default\searchplugins\askcom.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O3 - HKU\S-1-5-21-2927050979-4234470510-3826563246-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
Nie moge zainstalowac aktualizacji do programow wkazanych przez security check poniewaz pracuje w trybie awaryjnym a tam nie mam polaczenia z internetem.
Podesle zaraz swieze Logi.
– Dodane 07.03.2012 (Śr) 19:25 –
Nowe Logi OTL :
Glowny : http://www.wklejto.pl/119425
Extras : http://www.wklejto.pl/119426