Wirus "POLICJA" - tryb awaryjny zainfekowany też


(Bor1904) #1

Witam,

Dostałem dziś laptopa od znajomego z wirusem "POLICJA" gdzie chcą przelew 300zł.

W Internecie są tysiące pomocy ale wszystkie zakładają że w trybie awaryjnym system działa. Na laptopie są 3 profile w tym Administratora i wszystkie trzy w każdym trybie są zainfekowane tj. na dziendobry wyskakuje baner na cały ekran i koniec.

Pytanie jak z tym walczyć. Pewnie jest albo jakiś myk o którym nie wiem albo bootowalne CD/USB. Jeżeli opcja 2 to co wrzucić do cd-romu żeby pomogło? (dysponuje bootowalnym mini xp ale wszystkie sensowne aplikacje sie nie uruchamiają :confused: )

bede wdzieczny za możliwie szybką pomoc.

pozdrawiam

KB


(Atis) #2

A jaki to jest system?

Użyj miniXP i przeszukaj dysk czy w profilu użytkownika są pliki msconfig.dat i msconfig.ini

Jeżeli znajdziesz wymienione pliki to usuń.


(Bor1904) #3

Jest to XP Home...

Co w razie gdy nie znajde lub usuniecie nie pomoże? Coś sprawdzonego z możłiwością bootowania lub odpalenia na mini XP ew pod linuxem ? (SLAX/Ubuntu)

dzieki za odzew!


Niestety nie ma takich plików :frowning:


(Atis) #4

Nie wiadomo jaką masz odmianę tego trojana.

FRST można uruchomić z poziomu miniXP, ale nie wiem, czy wtedy pokaże składniki tej infekcji.

Czasem można uruchomić OTL za pomocą trybu awaryjnego z wierszem polecenia.

OTL możesz zapisać na pendrive

  1. W wierszu polecenia wpisz: notepad

  2. W menu notatnika: Plik -> Otwórz

  3. Pliki typu -> Wszystkie pliki

  4. Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako...

Można utworzyć bootowalny pendrive z OTLPEUSB.

http://sd-4.archive-host.com/membres/up ... nstall.exe

Zobacz opis od słów sur Clef USB:

http://forum.malekal.com/otlpe-live-t23453.html#p213090


(Bor1904) #5

"Czasem można uruchomić OTL za pomocą trybu awaryjnego z wierszem polecenia." - w trybie awaryjnym nic nie jestem w stanie zrobić ...:frowning:


(Atis) #6

Ja napisałem o trybie awaryjnym z wierszem polecenia.

Poza tym opisałem inne możliwości takie jak przeskanowanie z poziomu miniXP za pomocą FRST.

Szukaj w Documents and Settings plików EXE o losowych nazwach.

W miniXP masz normalną wyszukiwarkę.


(Bor1904) #7

Szukam szukam... usunąłem już kilka. Teraz pobieram OTL live CD


(Atis) #8

Jeżeli usunąłeś pliki to spróbuj normalnie uruchomić system.

Dlaczego nie spróbujesz miniXP i w FRST kliknij Scan.


(Bor1904) #9

Ostatecznie po usunieciu tych kilku dziwnych .exe udało się uruchomić kompa i puścić combofixa po czym wszystko wróciło do normy.

dziekuje Panowie!