k.rs
6 Kwiecień 2012 21:07
#1
Witam serdecznie.
Natrafiłem na taki oto problem. Otóż przeglądając internet pojawił się nagle komunikat, że mój komputer został zablokowany przez angielską policję ze względu na niewłaściwe tresci jakie przeglądam (terroryzm, pedofilia, itp, choc nic takiego nie miało faktycznie miejsca), żądają 100 Euro za odblokowanie. Wygogolowałem że trochę ludzi miało już z tym problem, ale samemu nie udało mi się go rozwiązać niestety. Próbowałem uzyć Trojankillera 2120, który ładnie wszystko zeskanował i znalazł 29 (!) zarazonych plików, ale nie udało mi się niczego usunąć bo była to wersja testowa
OTL: http://www.wklej.eu/index.php?id=01a61089e2
Acorus
7 Kwiecień 2012 08:14
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL FF - prefs.js…network.proxy.http: “174.142.24.201” FF - prefs.js…network.proxy.http_port: 3128 O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause File not found O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [5GVA2ZXEUF9HVJ8ZQICE] C:\x64drvsys\56B02FD423E.exe /q File not found O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [Adam] C:\Users\Adam\Adam.exe File not found O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [Ceobetc] C:\Users\Adam\AppData\Roaming\Ewbaip\cuymf.exe () O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [Classes] C:\Users\Adam\AppData\Roaming\2A37B0.exe () O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [ctfmon.exe] C:\ProgramData\lowivircra.dat () O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [GSpot Appliance Corp] C:\Users\Adam\AppData\Roaming\2A37B0.exe () O4 - HKU\S-1-5-21-3759210031-3785855878-536085477-1000…\Run: [Hewlett-Packard] C:\Users\Adam\AppData\Roaming\2A37B0.exe () [2012-04-03 14:50:28 | 000,000,037 | ---- | C] () – C:\Users\Adam\AppData\Roaming\2A37B0.dat [2011-04-21 17:00:36 | 076,004,920 | -H-- | C] () – C:\ProgramData\arcriviwol.dat [2011-04-21 17:00:36 | 001,017,886 | -H-- | C] () – C:\ProgramData\lowivircra.dat [2011-04-21 17:00:36 | 000,002,760 | ---- | C] () – C:\ProgramData\hum64sim.js [2011-04-21 17:00:36 | 000,002,760 | ---- | C] () – C:\ProgramData\exerimaso.js [2011-04-21 17:00:36 | 000,002,760 | ---- | C] () – C:\ProgramData\exeorali.js [2011-04-21 17:00:36 | 000,002,760 | ---- | C] () – C:\ProgramData\doqwejm.js [2011-04-21 17:00:36 | 000,002,760 | ---- | C] () – C:\ProgramData\andjesim.js [2012-04-06 05:50:06 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Xonaly [2012-04-06 05:50:01 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Meygr [2012-04-06 05:50:01 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Abes [2012-04-06 00:40:46 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Unuryd [2012-04-06 00:40:46 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Qokuk [2012-04-06 00:40:46 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Axtu [2012-04-05 21:29:24 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Yzys [2012-04-05 21:29:24 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Ovyht [2012-04-05 21:29:24 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Giyqdu [2012-04-05 20:27:54 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Ewbaip [2012-04-05 20:27:54 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Elqimo [2012-04-05 20:27:54 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Ekpir [2012-04-04 18:20:18 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Uperu [2012-04-04 18:20:18 | 000,000,000 | —D | C] – C:\Users\Adam\AppData\Roaming\Bevoa :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
k.rs
7 Kwiecień 2012 09:35
#3
Zrobiłem co zasugerowałes, poniżej wklejam raporty.
Raport: http://www.wklej.eu/index.php?id=f94584cb89
OTL: http://www.wklej.eu/index.php?id=1a790540bc
Extras: http://www.wklej.eu/index.php?id=927b7acc0f
Przy ponownym uruchomieniu komputera wyskakują 4 okienka z tym podobnym błędem RunDLL
'Wystapil blad podczas ladowania
C:\Users\Adam\AppData\Local\Temp######.tmp
Nie mozna odnalezc okreslonego modulu’
- to cztery rozne nazwy, jedna z nich to np CD8C. Co z tym mogę zrobic? Bo wygląda że komp pracuje już prawie normalnie?
Acorus
7 Kwiecień 2012 10:07
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
k.rs
7 Kwiecień 2012 10:44
#5
Acorus
7 Kwiecień 2012 11:09
#6
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Przeskanuj progr.Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
Odinstaluj tego starego Avasta tym Avast Uninstall utility http://www.avast.com/uninstall-utility i zainstaluj najnowszego.
k.rs
7 Kwiecień 2012 12:07
#7
Zrobiłem wszystko krok po kroku. Mam nadzieje, że poradziłem sobie z trojanem na dobre.
Wielkie dzięki dla Ciebie Acorus. Wesołych Świąt i mokrego Dyngusa
Proszę o wsparcie kogoś z forum. Poniżej podaje logi zrobione w trybie awaryjnym, bo tylko tak komp funkcjonuje normalnie. Z góry dzieki za wskazówki, bardzo liczę na Waszą pomoc.