Weelsof: cyberprzestępczość

**Posty:** 67 · przez **kamos1602** 20 Mar 2013, 19:12

Witam, dzisiaj serfując po internecie wyskoczył znany mi już wcześniej (na innych komputerach) komunikat o cyberprzestępczości blokujący m.in. dostęp do pulpitu. Wyłączyłem komputer ręcznie przyciskiem POWER i wyświetliło się okno z zapytaniem o zamknięcie otwartych programów i kliknąłem ANULUJ. Od tamtej pory komunikat nie wyskakiwał, ale jestem pewny, że gdy ponownie uruchomię komputer to mój pulpit zostanie zasłonięty przez ten przykry widok. Skanowałem komputer Avastem 8 (Free version), którego mam na stałe oraz Kaspersky'm Virus Removal Tool 2011 i ku mojemu niezadowoleniu oba nic nie znalazły, chciałem jeszcze przeskanować Kaspersky'm Online, ale przy próbie aktualizacji wyskakuje ERROR: Klucz stracił ważność czy coś takiego (a próbowałem kilka razy). I tutaj moje pytanie: czym mogę przeskanować komputer aby pozbyć się tego złośliwego oprogramowania?

PS. Na poprzednich komputerach poradziłem sobie z tym problemem za pomocą Kaspersky Rescue Disk 10 nagranego na płytę (bo pamiętam, że z USB miałem problem). Teraz problem różni się o tyle, że nadal mam włączony komputer i może da się ten problem rozwiązać prościej niż grzebać w biosach i tracić czystą płytkę na nagranie Kaspersky Rescue Disk 10.

Pozdrawiam

**Posty:** 4765 · przez **ordynat** 20 Mar 2013, 20:25

A może, na dobry początek, daj logi z OTL >http://forum.programosy.pl/otl-dds-combofix-vt117885.html ?
.

**Posty:** 67 · przez **kamos1602** 20 Mar 2013, 21:35

Myślałem, że logi będą zbędne, gdyż chodziło mi tylko o polecenie dobrego programu, który wykryje to paskudztwo. Ale jeśli są potrzebne to proszę bardzo. Pozdrawiam

@EDIT Mam nadzieję, że Daemon Tools nie pomieszał nic w logach, bo jak wiadomo jego odinstalowanie = reset komputera co mija się z celem w tym wypadku.

**Posty:** 4765 · przez **ordynat** 20 Mar 2013, 22:32

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013/03/20 12:45:33 | 000,000,153 | ---- | C] () -- C:\ProgramData\8973746.reg
[2013/03/20 12:45:33 | 000,000,060 | ---- | C] () -- C:\ProgramData\8973746.bat
[2013/03/20 12:45:19 | 000,001,041 | ---- | C] () -- C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/03/20 12:45:13 | 095,023,320 | ---- | C] () -- C:\ProgramData\8973746.pad
[2013/03/20 12:45:12 | 000,102,400 | ---- | C] () -- C:\Users\Kamil\6473798.dll
O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\8973746.bat) - C:\ProgramData\8973746.bat ()
O20 - HKLM Winlogon: GinaDLL - (C:\Windows\SYSTEM32\RtlGina\RtlGina.DLL) - File not found
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
O4 - HKU\S-1-5-21-3467520611-1501154299-2061691939-1001..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\ChomikBox.exe File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3467520611-1501154299-2061691939-1001\..\Toolbar\WebBrowser: (no name) - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - No CLSID value found.
O3 - HKU\S-1-5-21-3467520611-1501154299-2061691939-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121013014143.dll File not found
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121013014143.dll File not found
[2012/10/21 19:03:24 | 000,000,935 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\mozilla\firefox\profiles\m3hu4vu3.default\searchplugins\conduit.xml
IE - HKU\S-1-5-21-3467520611-1501154299-2061691939-1001\..\URLSearchHook: {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No CLSID value found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_USERS\S-1-5-21-3467520611-1501154299-2061691939-1001\Software\Microsoft\Internet Explorer\SearchScopes\{92A0F7C5-2955-450A-AC47-0960F5EE56EE}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline)
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml
.

**Posty:** 67 · przez **kamos1602** 20 Mar 2013, 23:30

Wszystko zrobione i dodatkowo przed logami odinstalowałem Daemon Toolsa, żeby w razie czego nie przeszkadzał

Oto logi:

**Posty:** 4765 · przez **ordynat** 20 Mar 2013, 23:37

DaemonTools nie przeszkadza w przypadku używania tylko OTL.
Co innego, gdyby potrzeba było użyc GMER, ComboFix, czy TDSSKiller - wtedy jego sterownik "sptd.sys" by przeszkadzał.

Wg mnie - jest już OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

Autor postu otrzymał pochwałę

**Posty:** 67 · przez **kamos1602** 20 Mar 2013, 23:42

Dzięki wielkie za szybką pomoc :ok:

Pozdrawiam

**Posty:** 3 · przez **Demno** 24 Mar 2013, 17:35

przecież java ma zintegrowaną 64 bitową

Kto jest na forum