Blokada komputera- policja

**Posty:** 33 · przez **innovative** 07 Lis 2012, 06:06

Dzień dobry, zważywszy na godzinę jaka jest

Włączyłem komputer, wszedłem na playtube.pl i otworzył się jakiś plik w tle. Po kilku sekundach komputer został zablokowany
Proszę o pomoc w usunięciu tego wirusa.
Pozdrawiam.

**Posty:** 4765 · przez **ordynat** 07 Lis 2012, 09:15

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
[2012-11-07 04:35:16 | 083,023,306 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012-11-07 04:10:35 | 000,000,816 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10011&barid={8D45CD69-F35C-11E1-8A61-002522B258D9}
IE - HKLM\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={8D45CD69-F35C-11E1-8A61-002522B258D9}
IE - HKU\S-1-5-21-30590949-1268039703-590906886-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - No CLSID value found
IE - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\SearchScopes\{06AB606E-722D-4B91-BF88-5593499F43BC}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CF3267FA-E234-41C4-BBA5-301B154FB21F&apn_sauid=D6B5CAAA-4411-41D8-8A50-AD81836FDD22
IE - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10011&st=1&barid={8D45CD69-F35C-11E1-8A61-002522B258D9}&q={searchTerms}&barid={8D45CD69-F35C-11E1-8A61-002522B258D9}
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..extensions.enabledAddons: {4DC70064-89E2-4a55-8FC6-E8CDEAE3618C}:0.7.7
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=2&q="
[2012-10-07 13:39:04 | 000,013,345 | ---- | M] () (No name found) -- C:\Users\Dom\AppData\Roaming\mozilla\firefox\profiles\abawq2kk.default\extensions\{4DC70064-89E2-4a55-8FC6-E8CDEAE3618C}.xpi
[2012-10-09 16:03:28 | 000,199,400 | ---- | M] () (No name found) -- C:\Users\Dom\AppData\Roaming\mozilla\firefox\profiles\abawq2kk.default\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}.xpi
[2012-09-27 12:25:02 | 000,000,907 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\mozilla\firefox\profiles\abawq2kk.default\searchplugins\conduit.xml
O2 - BHO: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O3 - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\Toolbar\WebBrowser: (uTorrentControl_v2 Toolbar) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-30590949-1268039703-590906886-1001..\Run: [ASRockXTU] File not found
O4 - HKU\S-1-5-21-30590949-1268039703-590906886-1001..\RunOnce: [JavaInstallRetry] RUNONCE=1 SPONSORS=0 File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Autor postu otrzymał pochwałę

**Posty:** 33 · przez **innovative** 07 Lis 2012, 13:54

Po ponownym uruchomieniu komputera widoczne są pliki które wcześniej były ukryte na pulpicie (przezroczyste) pewnie to one powodują tę blokadę.

**Posty:** 4765 · przez **ordynat** 07 Lis 2012, 14:20

widoczne są pliki które wcześniej były ukryte na pulpicie (przezroczyste)

Najedź myszką na te ikonki, i zobacz, co tam napisane, ; z prawokliku "Właściwości".

W logu nie widzę niczego podejrzanego.

Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2012-09-27 00:11:53 | 000,003,743 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
O3 - HKU\S-1-5-21-30590949-1268039703-590906886-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

Jeśli problem dalej aktualny, to użyj MBAM >http://www.programosy.pl/program,malwarebytes-anti-malware.html
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
.

**Posty:** 33 · przez **innovative** 07 Lis 2012, 14:45

Blokady już nie ma ale martwią mnie te przezroczyste pliki, włączenie otl.exe + sprzątanie załatwi problem?

Ok tutaj masz OTL oraz raport.

All processes killed
========== OTL ==========
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml moved successfully.
Registry value HKEY_USERS\S-1-5-21-30590949-1268039703-590906886-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Dom
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33300 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 631858 bytes
->Flash cache emptied: 0 bytes

User: Programy

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 4243 bytes

Total Files Cleaned = 1,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 11072012_133711

Files\Folders moved on Reboot...
C:\Users\Dom\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

No i screen z właściwości tych plików

**Posty:** 4765 · przez **ordynat** 07 Lis 2012, 14:53

Nie sądzę, by te ikonki miały cokolwiek wspólnego z infekcją.
Możesz spróbować usunąć je z prawokliku.
Ale nawet jeśli się nie usuną, to nie ma się co nimi przejmować.

Nie napisałeś, czy problem dalej aktualny?
.

**Posty:** 33 · przez **innovative** 07 Lis 2012, 14:56

Edytowałem przed chwilą poprzedni post zanim odpisałeś.
Problem zniknął już nie męczy mnie ta blokada za co jestem ci bardzo wdzięczny

**Posty:** 4765 · przez **ordynat** 07 Lis 2012, 15:11

Aha, w takim razie kończymy:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

**Posty:** 33 · przez **innovative** 07 Lis 2012, 15:14

Posprzątane, pliki które mnie martwiły czyli te przezroczyste zostały usunięte

Kto jest na forum