Wirus policyjny na Win XP - proszę o pomoc


(Niosark) #1

witam, tak jak koledzy poniżej miałem przyjemność złapać wirusa policyjnego. Mój system to win xp. System da się uruchomić tylko z trybem tekstowym w każdym innym przypadku zostaje natychmiast zablokowany. Za pomocą innego komputera ściągnąłem na pamięć przenośną program OTL przeniosłem go na zainfekowany komputer i wykonałem skan oto jego wyniki:

http://wklej.to/rH8I6

http://wklej.to/UDON3

Bardzo proszę o instruktaż jak dalej postępować bo ten zainfekowany komputer jest niezbędny mojej żonie na jutro do pracy. Prosze o w miarę dokładne wyjaśnienie bo nie jestem zbyt światły w temacie wirusów itp. Pozdrawiam i z góry dziekuję


(adam9870) #2

Uruchom OTL

Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.

W okno Własne opcje skanowania/skrypt wklej (zaczynając od dwukropka)

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b

IE - HKU\S-1-5-21-746137067-706699826-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b

IE - HKU\S-1-5-21-746137067-706699826-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?src=sp&aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b&q={searchTerms}

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Web Search"

FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b"

FF - prefs.js..keyword.URL: "http://startsear.ch/?src=sp&aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b&q="

CHR - homepage: http://startsear.ch/?aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b

CHR - default_search_provider: search_url = http://startsear.ch/?src=sp&aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b&q={searchTerms}

CHR - homepage: http://startsear.ch/?aff=51&cf=ef09bb62-414b-11e2-be1b-00221590a31b


:Files

C:\Documents and Settings\krzys\wgsdgsdgdsgsd.dll

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js

C:\Documents and Settings\krzys\Menu Start\Programy\Autostart\runctf.lnk


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

Kliknij Wykonaj skrypt

Zgódź się na ponowne uruchomienie (restart). Naciśnij OK.

Jeżeli używasz Windows Vista/7, po restarcie, może zostać wyświetlony alert zabezpieczeń. Naciśnij Uruchom.

Użyj AdwCleaner

Pobierz AdwCleaner http://general-changelog-team.fr/fr/dow … adwcleaner

Jeżeli używasz Windows Vista/7 może zostać wyświetlony alert Kontroli Konta Użytkownika. Kliknij Tak.

W głównym oknie programu naciśnij Delete (usuwanie)

Zamknij wszystkie przeglądarki internetowe i naciśnij OK.

Poczekaj

Naciśnij OK na komunikatach, które zostaną wyświetlone

System zostanie uruchomiony ponownie (restart)

Po wszystkim przedstaw

Nowy log OTL z opcji Skanuj

Raport z usuwania OTL

Raport z usuwania AdwCleaner (C:\AdwCleaner[s1].txt)

Pobierz Malwarebytes Anti-Malware Free http://www.malwarebytes.org/products/malwarebytes_free/

Podczas instalacji odrzuć ofertę instalacji płatnej wersji, aby zainstalować tylko darmowy skaner. Zaktualizuj. Przeskanuj.


(Niosark) #3

ale ja używam windows XP więc ??


(adam9870) #4

Więc postępujesz tak samo. Jak zostaniesz zapytany o kontynuowanie działania OTL to potwierdzasz itd.


(Niosark) #5

Adamie nie pomogło zrobiłem dokładnie tak jak mi napisałeś ale po wykonaniu skryptu i restarcie nadal komputer jest zablokowany

Co robić ?? czy podczas wykonywania tej operacji komputer powinien byc odłączony od sieci ??


(adam9870) #6

Cóż, masz wredną odmianę tego syfu.

Wejdź na stronę http://www.bleepingcomputer.com/downloa … scan-tool/ i wybierz “Download Now 32-Bit Version”. Zapisz plik FRST.exe na pendrive.

Podczas uruchamiania komputera, jeszcze przed ekranem ładowania Windows przyciskaj F5 albo F8. Powinieneś ujrzeć planszę:

image_id: 4865

Sterowanie? Strzałki góra, dół. Wybierasz “Tryb awaryjny z obsługą wiersza polecenia” i wciskasz Enter. Nie musisz się obawiać, kiedy wciśniesz przycisk. Najwyżej system uruchomi się w trybie normalnym i nie pokaże planszy z wyborem trybu, w jakim uruchomić system. Po chwili zobaczysz ekran wiersza polecenia. Wpisujesz NOTEPAD i naciskasz Enter. Otworzy się Notatnik. W Notatniku wybierasz Plik - Otwórz. W oknie otwórz zmień na dole Rozszerzenia na “Wszystkie pliki”. Przejdź do lokalizacji, w której jest zapisany FRST (czyli na pendrive), kliknij na FRST prawym przyciskiem myszy i wybierz opcję w stylu “Uruchom” albo “Otwórz”.

image_id: 4892

Zostanie uruchomiony FRST, klikamy Tak aby zaakceptować coś w rodzaju ostrzeżenia.

image_id: 4893

Widzimy okno programu.

image_id: 4894

W głównym oknie programu naciśnij Scan, poczekaj aż zostanie utworzony log. Po zakończeniu tworzenia loga, zostaniesz o tym poinformowany

image_id: 4896

Włóż pendrive do innego komputera, odszukaj plik FRST.txt (dokument tekstowy), przekopiuj jego zawartość na wklej.org i podaj tutaj link.


(Niosark) #7

prosze bardzo http://wklej.to/bZPKX


(adam9870) #8
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

Nie postępowałeś zgodnie z moją instrukcją, uruchomiłeś FRST w Windows.


(Niosark) #9

próbowałem to zrobić jescze raz zgodnie z Twoim opisem ale chyba efekt jest ten sam. Nie wiem czy dobrze rozumiem, że powininem ten plik otworzyć z poziomu niższego niż windows ale problem polega na tym ze jak wybiore tryb awaryjny z wierszem polecen to i tak cokolwiek moge wpisać juz po uruchomieniu windowsa. zrobiłem jeszcze raz tak jak pisałes ale widze ze w pliku jest ten sam komunikat jesli mozesz to sprawdz to i ewentualnie powiedz jak mam z tego wybrnąć bo juz nie mam siły do tego wszystkiego a żona jutro mnie zabije :slight_smile:

http://wklej.to/6qXnl


(adam9870) #10

Utwórz plik fixlist.txt o zawartości:

C:\Documents and Settings\krzys\wgsdgsdgdsgsd.dll

i zapisz go w tym samym miejscu, w którym jest FRST.exe.

Odpal FRST.exe tak jak poprzednio i kliknij Fix

Uruchom ponownie komputer, system powinien uruchomić sie, ale pokaże błąd tego typu http://obrazki.elektroda.pl/9155252400_1356722160.jpg ale nie będzie blokady.

Aby pozbyć się błędu wejdź do Start - wszystkie programy - autostart i skasuj runctf.lnk

Wtedy zrób logi OTL i powalczymy dalej