Corsarz
(Ressiv)
6 Lipiec 2012 21:51
#1
Witam, Jestem kolejną ofiarą ataku. Podczas użytkowania komputera w trybie normalnym ukazuje się okno “Komputer zostal zablokowany z powodu naruszenia prawa polskiego”. Nie wiem jak to obejść więc zwracam się z prośbą do was. Proszę o pomoc.
http://wklej.org/id/785679/ - OTL
http://wklej.org/id/785680/ - Extras
Atis
(Atis)
6 Lipiec 2012 21:57
#2
W panelu sterowania odinstaluj:
SweetPacks Toolbar for Internet Explorer
Babylon toolbar on IE
uTorrentBar Toolbar
vShare.tv plugin
Yahoo! Companion
Yontoo
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\Monfilt.sys – (Monfilt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\Ambfilt.sys – (Ambfilt) IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?affID=110819&tt=100512_3_&babsrc=KW_ss&mntrId=a87b977f000000000000001a4d6ef2ad&q= ” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://search.sweetim.com/search.asp?src=2&q= ” [2012-05-30 17:09:40 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-05-05 23:40:54 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions\plugin@yontoo.com [2012-02-04 16:25:11 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\startsear.xml [2012-05-05 23:39:46 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\sweetim.xml [2012-05-13 13:24:36 | 000,000,000 | —D | M] (General Crawler) – C:\DOCUMENTS AND SETTINGS\ADMIN\DANE APLIKACJI\MOZILLA\EXTENSIONS{EC8030F7-C20A-464F-9B0E-13A3A9E97384}\GENCRAWLER@SOME.COM [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) – C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-05-13 13:24:06 | 000,002,352 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () O4 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Run: [Media Finder] “C:\Program Files\Media Finder\Media Finder.exe” /opentotray File not found [2012-07-06 18:26:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Admin\Dane aplikacji\hellomoto [2012-02-04 21:55:39 | 000,000,000 | —D | M] – C:\Documents and Settings\Admin\Dane aplikacji\Babylon [2012-05-13 13:24:24 | 000,000,000 | —D | M] – C:\Documents and Settings\Admin\Dane aplikacji\BabylonToolbar [2012-02-04 21:55:39 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-05-12 17:16:30 | 000,000,000 | —D | M] – C:\Documents and Settings\Donia\Dane aplikacji\BabylonToolbar :Files C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Corsarz
(Ressiv)
6 Lipiec 2012 22:44
#3
Nie mogę usunąć SweetPacks Toolbar for Internet Explorer. Wyświetla mi się ten komunikat: “Nie można uzyskać dostępu do Usługi Instalatora Windows. Może mieć to miejsce, jeśli system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany.”. Uruchamiając normalnie Windowsa pokazuje się komunikat o blokadzie komputera, więc nie mogę inaczej usunąć.
Zrobiłem co kazałeś tylko bez usuniętego SweetPacks Toolbar for Internet Explorer
http://wklej.org/id/785703/ - raport
Atis
(Atis)
6 Lipiec 2012 22:49
#4
Po wykonaniu tego skryptu system powinien prawidłowo działać w normalnym trybie.
Kliknij Skanuj i pokaż nowy log.
Corsarz
(Ressiv)
6 Lipiec 2012 23:00
#5
http://wklej.org/id/785708/ - OTL
http://wklej.org/id/785709/ - Extras
Pewnie bardziej dołożyłem do pieca, bo użyłem ComboFixa sądząc, że coś zadziała.
Atis
(Atis)
6 Lipiec 2012 23:08
#6
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll File not found O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTo0.dll File not found O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [recdisc] C:\Documents and Settings\Mama i Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3398\recdisc.exe () O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found [2012-07-07 00:14:03 | 000,000,000 | —D | M] – C:\Documents and Settings\Mama i Tata\Dane aplikacji\hellomoto :Files C:\Documents and Settings\Mama i Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3398 :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Agaton
(Agatonster)
7 Lipiec 2012 06:43
#7
Corsarz ,
Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie, w poście dokładnie opisać problem. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Corsarz
(Ressiv)
7 Lipiec 2012 10:42
#8
Atis
(Atis)
7 Lipiec 2012 11:11
#9
Nie wiem co Ty robisz, że to wraca po restarcie?
Uruchom OTL i kliknij Nic
Wklej i kliknij Skanuj:
msconfig
Pokaż ten log.
Corsarz
(Ressiv)
7 Lipiec 2012 11:28
#10
Ale co moge robic źle? Robie wszystko według instrukcji. Wyłączony antywir, przeglądarki i wszystko inne prócz OTL. Dla pewności napiszesz co trzeba miec włączone/wyłączone podczas wykonywania skryptu?
http://wklej.org/id/785860/ - OTL
Atis
(Atis)
7 Lipiec 2012 12:08
#11
Nic nie wkleiłeś przed skanowaniem.
Wklej i kliknij Skanuj:
Corsarz
(Ressiv)
7 Lipiec 2012 12:22
#12
Atis
(Atis)
7 Lipiec 2012 12:39
#13
Wklej i kliknij Wykonaj skrypt:
Pokaż nowy log Skanuj
Corsarz
(Ressiv)
7 Lipiec 2012 13:07
#14
Działa, komunikat już się nie pokazuje. Chciałbym się dowiedziec czy wirus jeszcze się gnieździ.
http://wklej.org/id/785921/ - raport
Atis
(Atis)
7 Lipiec 2012 13:12
#15
To teraz odinstaluj:
SweetPacks Toolbar for Internet Explorer
Yahoo! Companion
Później pokaż nowy log Skanuj.
Corsarz
(Ressiv)
7 Lipiec 2012 13:40
#16
SweetPacks Toolbar for Internet Explorer nie moge odinstalowac. Przyczyna jest już mi znana od dawna, otóż przy przeciążaniu komputera zawiesza sie on i trzeba restartowac komputer.
http://wklej.org/id/785945/ - OTL
http://wklej.org/id/785946/ - Extras
Atis
(Atis)
7 Lipiec 2012 13:50
#17
Wklej i kliknij Wykonaj skrypt:
:OTL IE - HKU\S-1-5-21-220523388-839522115-725345543-1003…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\Admin\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll () O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKU\S-1-5-21-220523388-839522115-725345543-1003…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) [2012-07-07 00:25:34 | 000,000,000 | —D | M] – C:\Documents and Settings\Donia\Dane aplikacji\BabylonToolbar [2012-05-05 23:39:34 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\SweetIM :Files C:\Documents and Settings\Admin\Dane aplikacji\Media Finder C:\Program Files\SweetIM\Toolbars :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “{5B58EF61-85F2-4977-97A5-84C19F926579}”=- “{83AA2913-C123-4146-85BD-AD8F93971D39}”=-
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Corsarz
(Ressiv)
7 Lipiec 2012 14:22
#18
Zrobiłem to co kazałeś, aż do Sprzątania. Komputer teraz chodzi jak żółw tak, ze aby napisac ten post musiałem skorzystac z innego komputera. Co robic?
Atis
(Atis)
7 Lipiec 2012 14:31
#19
Sprzątanie kasuje tylko kwarantanne od OTL, więc nie wiem jak może powodować taki problem.
Spróbowałeś po sprzątaniu normalnie zrestartować system?
CTRL + Alt + Del i zobacz czy jakiś proces obciąża CPU
W awaryjnym problem również występuje?
Corsarz
(Ressiv)
7 Lipiec 2012 14:33
#20
W awaryjnym jest wszystko ok.