lolti
(lolti)
11 Luty 2013 19:58
#1
Witam serdecznie.
Znajomy poprosił mnie o pomoc z komputerem w którym wyświetla się komunikat Polska policja cyberprzestępczość. Po uruchomieniu systemu (win xp) od razu pojawia się blokujące wszystko okno. Miałem już z tym wcześniej do czynienia ale wtedy można było odłączyć dostęp do internetu i cokolwiek na tym komputerze robić jak choćby skan OTL. Niestety teraz nawet po odłączeniu neta komunikat się wyświetla. Próbowałem w trybie awaryjnym ale też się nie dało. Natomiast daje się uruchomić w trybie awaryjnym z wierszem polecenia. Niestety nie za bardzo wiem co mogę w tej sytuacji zrobić dalej. Jak uruchomić OTL żeby zrobić skan i uzyskać logi?
Bardzo proszę o pomoc.
Atis
(Atis)
11 Luty 2013 20:03
#2
Pobierz OTL na pendrive:
analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741
Uruchom tryb awaryjny z wierszem polecenia.
W wierszu polecenia wpisz: X:\OTL.exe
X - podstawiasz literę którą oznaczony jest pendrive.
Nie znasz litery to użyj sposobu z notatnikiem.
W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz
Pliki typu -> Wszystkie pliki
Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…
http://wstaw.org/m/2012/12/23/2012-12-23_205834.png
lolti
(lolti)
11 Luty 2013 20:19
#3
Ok. Dziękuję za wskazówki. Jak zrobię skan (niestety dopiero jutro bo komputer został u znajomego) to oczywiście zamieszczę logi.
Pozdrawiam i dziękuję.
Atis
(Atis)
11 Luty 2013 20:32
#4
Można również wykorzystać pendrive lub CD z Kaspersky Rescue Disk:
http://support.kaspersky.com/pl/viruses … =208286078
Po uruchomieniu należy wykonać leczenie rejestru.
Sposób uruchamiania narzędzia Kaspersky WindowsUnlocker i leczenia rejestru:
http://support.kaspersky.com/pl/viruses … 93launch
lolti
(lolti)
12 Luty 2013 07:18
#5
Witam serdecznie. Udało się zrobić skan. Poniżej zamieszczam wygenerowane logi z OTL:
OTL.Txt: http://www.wklejto.pl/149165
Extras.Txt: http://www.wklejto.pl/149166
i proszę o dalszą pomoc.
Pozdrawiam
Atis
(Atis)
12 Luty 2013 09:10
#6
Log trzeba utworzyć na zainfekowanym koncie.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) [2013-02-06 19:28:10 | 000,003,228 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\iz5uZKT.js [2013-02-06 19:26:14 | 095,023,320 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\iz5uZKT.pad [2012-11-22 19:49:16 | 095,023,320 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad [2010-08-30 14:33:27 | 000,000,020 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\hngmfc.dat :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
lolti
(lolti)
12 Luty 2013 10:57
#7
Nie wiedziałem że to ma znaczenie z którego konta bo i tak na wszystkich kontach blokowało ekran.Wszedłem zatem na to drugie konto i wykonałem zalecony skrypt. OTL bardzo długo “mielił” i kazał zrestartować kompa po którym wyświetlił log:
02122013_112826.log: http://www.wklejto.pl/149175
Następnie już z normalnego konta i w normalnym (nie awaryjnym) trybie wykonałem ponowne skanowanie. Oto jego wynik:
OTL.txt: http://www.wklejto.pl/149176
Nie pojawił się plik extras, więc nie wiem czy to ok.
Atis
(Atis)
12 Luty 2013 11:10
#8
Do okna Własne opcje skanowania / skrypt wklej:
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
lolti
(lolti)
12 Luty 2013 11:31
#9
Wykonałem skrypt.
Log po jego wykonaniu:
02122013_121610.log: http://www.wklejto.pl/149184
Log po ponownym skanowaniu:
OTL.txt: http://www.wklejto.pl/149185
Atis
(Atis)
12 Luty 2013 12:43
#10
W logu widać sterowniki od AVAST 4, ale nie ma tego programu na liście zainstalowanych programów.
Usuń za pomocą avast! Uninstall Utility:
Dezinstalacja za pomocą użycia narzędzia avast! Uninstall Utility
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
lolti
(lolti)
12 Luty 2013 15:25
#11
Wszystkie zalecenia wykonałem. Trochę to trwało. Ten komputer to ruina. Ale z tego co wiem to korzystają z niego w biurze więc zależało znajomemu by obyło się bez formatu.
Bardzo dziękuję za pomoc. Jak zwykle pełna profeska.
Dziękuję i pozdrawiam serdecznie.