unlol
(Lw Kami)
25 Lipiec 2012 12:52
#1
Witam,
Sprawa polega na tym, że podczas przeglądania stron nagle wyskoczył mi komunikat z informacją, że komputer został zablokowany z powodu złamania prawa polskiego.
Uruchomiłem komputer w trybie awaryjnym i z pendrive’a odpaliłem na nim ComboFix’a, po czym usunąłem cały folder hellomoto, który mi znalazło, usunąłem temp z windowsa i Catche z firefox’a i mogłem uruchomić komputer bez blokady, ale wydaje mi się, że z komputerem ciągle jest coś nie tak.
Bardzo proszę o przejrzenie logów i odpowiedź, czy jest OK, co jest nie OK, co zrobić dalej. Mam logi z ComboFix’a i z Gmer’a.
LOG COMBOFIX:
http://www.wklej.org/id/797493/
LOG GMER:
http://www.wklej.org/id/797491/
Z góry dzięki wielkie za pomoc!
Acorus
(Acorus)
25 Lipiec 2012 13:05
#2
unlol
(Lw Kami)
25 Lipiec 2012 14:15
#3
Ok, już poprawiam:
Plik OTL.txt:
http://wklej.org/id/797523/
Plik Extras.txt:
http://wklej.org/id/797524/
Dzięki wielkie!
Acorus
(Acorus)
25 Lipiec 2012 14:40
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – System32\drivers\rdvgkmd.sys – (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\tsusbhub.sys – (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] – System32\drivers\synth3dvsc.sys – (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Users\User\AppData\Local\Temp\catchme.sys – (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=4dc8c8ad- … 59bf8c240e IE - HKLM…\SearchScopes{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=4d … f8c240e&q={searchTerms} IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKU\S-1-5-21-1725927892-2926730144-878248486-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=4dc8c8ad- … 59bf8c240e IE - HKU\S-1-5-21-1725927892-2926730144-878248486-1000…\SearchScopes{1A3CED43-9991-4DE5-9FC8-FF2B3D873EE6}: “URL” = http://www.astroburn-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-1725927892-2926730144-878248486-1000…\SearchScopes{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=4d … f8c240e&q={searchTerms} IE - HKU\S-1-5-21-1725927892-2926730144-878248486-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” [2011-10-27 17:37:58 | 000,002,071 | ---- | M] () – C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ktoy6rb4.default\searchplugins\absearch-search.xml [2012-02-19 19:23:01 | 000,000,792 | ---- | M] () – C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ktoy6rb4.default\searchplugins\startsear.xml [2012-07-25 12:28:13 | 000,000,000 | —D | C] – C:\Users\User\AppData\Roaming\hellomoto :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
unlol
(Lw Kami)
25 Lipiec 2012 15:09
#5
jeszzce jedno pytanie, bo OTL odpalalem z Pendrive’a, Sprztanie powinienem uruchomic z dysku czy moze zostac OTL gdzie był?
– Dodane 25.07.2012 (Śr) 17:09 –
jeszzce jedno pytanie, bo OTL odpalalem z Pendrive’a, Sprztanie powinienem uruchomic z dysku czy moze zostac OTL gdzie był?
Acorus
(Acorus)
25 Lipiec 2012 15:38
#6
Jak masz go na pendrivie to go uruchom i użyj opcji Sprzątanie.
unlol
(Lw Kami)
25 Lipiec 2012 16:02
#7
to w takim układzie zrobione dzieki OGROMNE za pomoc, musze jeszcze tylko zaktualizować IE, Firefox’a i Javę.
– Dodane 26.07.2012 (Cz) 12:16 –
Niestety problem wrócił, w takiej samej postaci. wszystko działało, ale w momencie, w którym właczyłem internet i zaczałem pobierać oficjalną aktualizację firefox’a rzecz się powtórzyła. Co zrobić w tej sytuacji, bo usunąć już raz najwidoczniej się udało, ale coś gdzieś zostało i syf wrócił. Co dalej?
wrzucam aktualne logi z OTL.
OTL:
http://wklej.org/id/798002/
Extras:
http://wklej.org/id/798003/
Co zrobić, że to się nie właczało od razu ponownie jak tylko uruchomie internet?
– Dodane 26.07.2012 (Cz) 16:21 –
prosze o odświezenie!