Blokada ekrany przez ukasch

**Posty:** 3 · przez **AndrzejK** 10 Sie 2012, 07:56

Witam,
Poproszę o pomoc po zablokowaniu komputera przez trojana z info o konieczności zapłaty

Log z OTL w zał. z góry dziękuje

**Posty:** 18165 · przez **wojtas** 10 Sie 2012, 15:15

Brak loga z Gmera pamiętaj o skasowaniu emulacji,

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Web Search"
IE - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8228b8ee-2f9b-11e1-8f1b-002269ccf2e5&q={searchTerms}
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2010-09-07 18:52:06 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Samsung\Application Data\mozilla\Firefox\Profiles\2gtlwein.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2008-01-24 13:55:02 | 000,002,920 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\daemon-search.xml
[2009-12-20 23:46:34 | 000,005,413 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\fast-browser-search.xml
[2011-12-26 10:28:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\startsear.xml
[2011-03-05 19:33:29 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\web-search.xml
[2010-09-06 21:24:19 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Samsung\Application Data\Mozilla\Firefox\Profiles\2gtlwein.default\searchplugins\winamp-search.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-4192319393-1702428328-1919773330-1006\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sdchange] C:\Documents and Settings\Samsung\Local Settings\Application Data\Microsoft\Windows\191\sdchange.exe ()
O33 - MountPoints2\{09748f87-e629-11de-8aee-002269ccf2e5}\Shell\AutoRun\command - "" = E:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe
O33 - MountPoints2\{09748f87-e629-11de-8aee-002269ccf2e5}\Shell\open\command - "" = E:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe
O33 - MountPoints2\{245d155a-25a4-11de-9ea6-0050fc5db87c}\Shell\AutoRun\command - "" = E:\0bcobed.exe
O33 - MountPoints2\{245d155a-25a4-11de-9ea6-0050fc5db87c}\Shell\open\Command - "" = E:\0bcobed.exe
O33 - MountPoints2\{2b9fa95a-7c5b-11df-8b9f-002269ccf2e5}\Shell - "" = AutoRun
O33 - MountPoints2\{2b9fa95a-7c5b-11df-8b9f-002269ccf2e5}\Shell\AutoRun\command - "" = F:\ICM_ML.exe
O33 - MountPoints2\{5cb9f3f5-a4a1-11dc-9d47-0050fc5db87c}\Shell\Auto\command - "" = E:\RavMonE.exe e
O33 - MountPoints2\{5cb9f3f5-a4a1-11dc-9d47-0050fc5db87c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
O33 - MountPoints2\{5cb9f3f5-a4a1-11dc-9d47-0050fc5db87c}\Shell\explore\Command - "" = E:\RavMonE.exe e
O33 - MountPoints2\{5cb9f3f5-a4a1-11dc-9d47-0050fc5db87c}\Shell\open\Command - "" = E:\RavMonE.exe e
O33 - MountPoints2\{7e2fc033-e699-11dc-9dd6-0050fc5db87c}\Shell\Auto\command - "" = RavMonE.exe e
O33 - MountPoints2\{7e2fc033-e699-11dc-9dd6-0050fc5db87c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
O33 - MountPoints2\{7e2fc033-e699-11dc-9dd6-0050fc5db87c}\Shell\explore\Command - "" = RavMonE.exe e
O33 - MountPoints2\{7e2fc033-e699-11dc-9dd6-0050fc5db87c}\Shell\open\Command - "" = RavMonE.exe e
O33 - MountPoints2\{99c52427-25b7-11dd-9e2c-0050fc5db87c}\Shell\AutoRun\command - "" = F:\31n3b2h.exe
O33 - MountPoints2\{99c52427-25b7-11dd-9e2c-0050fc5db87c}\Shell\explore\Command - "" = F:\31n3b2h.exe
O33 - MountPoints2\{99c52427-25b7-11dd-9e2c-0050fc5db87c}\Shell\open\Command - "" = F:\31n3b2h.exe
O33 - MountPoints2\{9e978ae3-044a-11e0-8cb5-002269ccf2e5}\Shell\AutoRun\command - "" = F:\APPInst.exe
O33 - MountPoints2\{f3c22b2c-1650-11df-8b14-002269ccf2e5}\Shell\ArcaVirMenu\command - "" = E:\ArcaVirMenu.exe
O33 - MountPoints2\{f3c22b2c-1650-11df-8b14-002269ccf2e5}\Shell\AutoRun\command - "" = E:\ArcaVirMenu.exe
[2012-08-09 20:02:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Samsung\Application Data\hellomoto
@Alternate Data Stream - 154 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
@Alternate Data Stream - 149 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
@Alternate Data Stream - 144 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 140 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0C1EFF69
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D282699C
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34

:Files
C:\Documents and Settings\Samsung\Local Settings\Application Data\Microsoft\Windows\191

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

Autor postu otrzymał pochwałę

**Posty:** 3 · przez **AndrzejK** 10 Sie 2012, 16:25

dziękuję i poproszę o info co to znaczy Brak loga z Gmera pamiętaj o skasowaniu emulacji

?

**Posty:** 12734 · przez **Mikou@j** 10 Sie 2012, 16:28

Znaczy to tyle, że powinieneś zrobić jeszcze log z Gmera, uprzednio usuwając sterownik i emulatory. Wszystko masz w linkach podanych przez wojtasa.

**Posty:** 3 · przez **AndrzejK** 10 Sie 2012, 17:29

załączam wyniki po restarcie, po Ad i po OTL

**Posty:** 18165 · przez **wojtas** 11 Sie 2012, 15:21

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu