Wirus podszywający sie pod POLICJĘ zablokował kompa

Dla specjalistów Bezpieczeństwo
#1

Witam.

Koleżanka przyniosła mi zablokowanego kompa. Z jej relacji wynika, że komputer zainfekował wirus podszywający się pod Policję.

Teraz stan komputera jest taki, ze przy NORMALNYM uruchomieniu, po zalogowaniu widać tylko biały ekran.

Natomiast po uruchomieniu w TRYBIE AWARYJNYM, zaraz po zalogowaniu komputer zaczyna się zatrzymywać i następuje restart.

Nie wiem jak ugryźć ten problem :frowning: Będę wdzięczny za wszelką pomoc.

#2

Pobierz OTL na pendrive:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

Uruchom tryb awaryjny z wierszem polecenia.

W wierszu polecenia wpisz: X:\OTL.exe

X - podstaw literę którą oznaczony jest pendrive.

Nie znasz litery to użyj sposobu z notatnikiem.

  1. W wierszu polecenia wpisz: notepad

  2. W menu notatnika: Plik -> Otwórz -> Pliki typu -> Wszystkie pliki

  3. Kliknij prawym na OTL i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png

Możesz spróbować wykonać przywracanie systemu.

XP:

http://support.microsoft.com/kb/304449/pl

Vista, 7:

http://windows.microsoft.com/pl-pl/wind … and-prompt

#3

Udało się uruchomić OTL. :slight_smile:

link do OTL.txt http://wklej.org/id/1035143/

link do Extras.txt: http://wklej.org/id/1035146/

#4
  1. Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

  1. Uruchom system w normalnym trybie i odinstaluj:

Norton Security Scan

FilesFrog Update Checker

Incredibar Toolbar on IE

  1. Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

  1. Kliknij Skanuj i pokaż nowy log z OTL.
#5

Chyba wszystko jest już ok :wink: Wielkie dzięki.

log z usuwania: http://wklej.org/id/1035172/

log OTL: http://wklej.org/id/1035173/

log extras: http://wklej.org/id/1035176/

#6

Trudniejszy do usunięcia jest trojan ZeroAccess (Sirefef).

  1. Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

reg delete HKCU\Software\Classes\CLSID{fbeb8a05-beee-4442-804e-409d6c4515e9} /f

Zrestartuj komputer.

  1. Pobierz plik Fix:

http://sendfile.pl/315578/FIX.bat

Kliknij prawym na pilu FIX i wybierz Uruchom jako administrator.

  1. Wklej do OTL i kliknij Wykonaj skrypt:

Pokaż nowy log Skanuj.

  1. Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.

#7

Będę przy tym kompie dopiero w poniedziałek, dopiero wtedy zrobię resztę. Jeszcze raz dziękuję