Metropolitan Police virus zablokował mi laptopa

bartek16743 · 16 Marzec 2012 19:59

Witam Złapałem dzisiaj tego wirusa po uruchomieniu komputera pulpit oraz funkcje komputera są zablokowane. Włącza się internet explorer z komunikatem taki jak na tej stronie http://www.deletevirus.net/police-centr … nit-virus/

Pomóżcie mi, czy ta instrukcja w linku powyżej jest bezpieczna. pozdrawiam

anon1498622 · 16 Marzec 2012 20:02

Podaj log z OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

bartek16743 · 16 Marzec 2012 20:11

Mogę logi zrobić w trybie awaryjnym? Bo normalnie nie jestem w stanie uruchomić cokolwiek

anon1498622 · 16 Marzec 2012 20:12

tak

bartek16743 · 16 Marzec 2012 20:27

http://wklej.to/2TEMh raport OTL

http://wklej.to/xXzqh raport extra

anon1498622 · 16 Marzec 2012 20:29

Nie wkleiłeś raportu otl.txt tylko opcje skanowania.

Po skanowowaniu w lokalizacji OTL, pokaże się plik o nazwie OTL.txt - podaj jego treść.

bartek16743 · 16 Marzec 2012 20:38

http://wklej.to/5brtC

jasio96 · 16 Marzec 2012 20:53

Pełny skan MBAM , usuwasz co znajdzie

anon1498622 · 16 Marzec 2012 20:54

W OTL w białe okno wklej:

:OTL O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1196259668-1212443111-2080190041-1000…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O33 - MountPoints2{6385809b-b2e4-11e0-be4b-88ae1de1ce67}\Shell - “” = AutoRun O33 - MountPoints2{6385809b-b2e4-11e0-be4b-88ae1de1ce67}\Shell\AutoRun\command - “” = E:.\Autorun.exe AUTORUN=1 O33 - MountPoints2{bf7cb6bd-aa4d-11e0-a6f9-88ae1de1ce67}\Shell - “” = AutoRun O33 - MountPoints2{bf7cb6bd-aa4d-11e0-a6f9-88ae1de1ce67}\Shell\AutoRun\command - “” = E:.\Autorun.exe AUTORUN=1 O33 - MountPoints2{cce670ba-aa4e-11e0-93f6-88ae1de1ce67}\Shell - “” = AutoRun O33 - MountPoints2{cce670ba-aa4e-11e0-93f6-88ae1de1ce67}\Shell\AutoRun\command - “” = I:.\Autorun.exe AUTORUN=1 O33 - MountPoints2{fece2adb-1819-11e0-bb1c-c0cb38e268b9}\Shell - “” = AutoRun O33 - MountPoints2{fece2adb-1819-11e0-bb1c-c0cb38e268b9}\Shell\AutoRun\command - “” = G:\SETUP.EXE O33 - MountPoints2{fece2adb-1819-11e0-bb1c-c0cb38e268b9}\Shell\configure\command - “” = G:\SETUP.EXE O33 - MountPoints2{fece2adb-1819-11e0-bb1c-c0cb38e268b9}\Shell\install\command - “” = G:\SETUP.EXE O33 - MountPoints2\E\Shell - “” = AutoRun O33 - MountPoints2\E\Shell\AutoRun\command - “” = E:.\Autorun.exe AUTORUN=1 O33 - MountPoints2\I\Shell - “” = AutoRun O33 - MountPoints2\I\Shell\AutoRun\command - “” = I:.\Autorun.exe AUTORUN=1 [2012-03-16 18:31:12 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jag228505.exe.lnk [2012-03-16 18:31:02 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsa506589.exe.lnk [2012-03-16 18:31:00 | 000,001,039 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\arg15440.exe.lnk [2012-03-16 18:11:32 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jag155141.exe.lnk [2012-03-16 18:11:28 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsa254094.exe.lnk [2012-03-16 18:11:28 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\arg109450.exe.lnk [2011-06-06 17:36:55 | 000,009,730 | -HS- | C] () – C:\Users\Robert\AppData\Local\h73r553y732de0q8qn680d5326812l8q [2011-06-06 17:36:55 | 000,004,134 | -HS- | C] () – C:\ProgramData\h73r553y732de0q8qn680d5326812l8q [2011-07-09 18:12:30 | 000,000,000 | —D | M] – C:\Users\Robert\AppData\Roaming\Program Files :Files C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.lnk :Commands [emptytemp]

Kliknij Wykonaj Skrypt. Podaj log z usuwania i nowy.

Atis · 16 Marzec 2012 20:58

jasio96

Usuwasz prawidłowe pliki.

Lenovo:

C:\Windows\System32\IcnOvrly.dll

http://www.runscanner.net/lib/IcnOvrly.dll.html

Microsoft

C:\Windows\System32\mctadmin.exe

http://www.runscanner.net/file/mctadmin.exe.html

anon1498622 · 16 Marzec 2012 21:00

@bartek16743 nie wykonuj skryptu @jasio96

Wykonaj moje instrukcje.

bartek16743 · 16 Marzec 2012 21:20

http://wklej.to/GPP2S log po skasowaniu i po uruchomieniu

http://wklej.to/l9a9M l ponowne skanowanie

Plik lock key moim zdaniem jest od skrótów klawiaturowych, albo capslock, num lock itp

Teraz przy uruchomieniu komputera wyświetla się komunikat: Wystąpił problem podczas uruchamiania pliku c:\users\robert\appdata\local\temp\jag228505.exe nie można odnaleźć określonego modułu.

anon1498622 · 16 Marzec 2012 21:36

Wykonaj skrypt:

:OTL DRV - File not found [Kernel | On_Demand | Unknown] – -- (apf3rm26) [2012-03-16 18:31:12 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jag228505.exe.lnk [2012-03-16 18:31:02 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsa506589.exe.lnk [2012-03-16 18:31:00 | 000,001,039 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\arg15440.exe.lnk [2012-03-16 18:11:32 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jag155141.exe.lnk [2012-03-16 18:11:28 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsa254094.exe.lnk [2012-03-16 18:11:28 | 000,001,041 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\arg109450.exe.lnk [2011-07-09 18:12:30 | 000,000,000 | —D | M] – C:\Users\Robert\AppData\Roaming\Program Files [2012-03-16 20:42:45 | 000,000,000 | —D | M] – C:\Users\Robert\AppData\Roaming\x3rxf3cs3iansndztsfcjajg1elkuwzb2 [2012-01-09 19:52:45 | 000,000,000 | —D | M] – C:\Users\Robert\AppData\Roaming\xrbdafp1nbq1xhhrootwwzqjsjdflgav2 [2011-06-06 17:36:55 | 000,009,730 | -HS- | C] () – C:\Users\Robert\AppData\Local\h73r553y732de0q8qn680d5326812l8q [2011-06-06 17:36:55 | 000,004,134 | -HS- | C] () – C:\ProgramData\h73r553y732de0q8qn680d5326812l8q :Commands [emptytemp]

Podaj log z usuwnaia i nowy.

Pobierz >>> http://support.kaspersky.com/downloads/ … killer.zip

Zrób skan, jeżeli coś znajdzie wybierz opcję Skip.

Podaj log z tego programu.

bartek16743 · 16 Marzec 2012 22:17

http://wklej.to/Ao8Ky zaraz po usunieciu

http://wklej.to/mEZLx kolejne logi

Kasperskiego nie mogę uruchomić: system windows nie może uzyskać dostępu do określonego urządzenia, ścieżki bądź pliku. Możesz nie miec odpowiednich uprawnień, aby uzyskać dostęp

anon1498622 · 16 Marzec 2012 22:24

Wykonaj skrypt:

Podaj nowy log.

bartek16743 · 16 Marzec 2012 22:32

http://wklej.to/Lh8gX

spandaupol · 17 Marzec 2012 09:07

Kasperski się posypał

Możliwe że stało się tak dlatego gdyż w logu OTL widać aktywną Avirę

Odinstaluj proszę Kasperskiego przez Panel Sterowania - Odinstaluj program. Dodatkowo użyj kavremover http://support.kaspersky.com/faq/?qid=208279463

Tak samo z Avirą bo to chyba pozostałość po niej http://www.avira.com/en/support-downloa … moval-tool

Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport na forum