Trojan udajacy niemiecka policje- co robic?

[mateo8898]

Wszystko masz tutaj napisane http://www.fixitpc.pl/topic/61-diagnost ... #entry4251
Wydaje mi się, że logi możesz zapisać na tym pendrive z OTLPE, nie musisz używać drugiego. Później podaj je tutaj na forum, sprawdzimy je i podamy odpowiedni skrypt usuwający, więc przygotowanego pendrive nie formatuj, bo jeszcze będzie potrzebny.

[Mad]

Dzieki wielkie.
Rozumiem, ze moge spokojnie pendrive uruchomic pozniej na stacjonarnym i nie zbotuje nim systemu?

[Mad]

http://www.wklej.eu/index.php?id=6b4b37c8dd

O cos takiego chodzi?

[mateo8898]

Tak, o to chodzi. Zbootuj ponownie OTLPE, uruchom w nim OTL i w oknie Custom Scans/Fixes wklej:

:OTL
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Acer 5610\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L8VCZKBE\contacts[1].exe) - C:\Documents and Settings\Acer 5610\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L8VCZKBE\contacts[1].exe (cp)

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[emptytemp]

Klikasz Run Fix i rozpocznie się usuwanie. Po wykonaniu sprawdź, czy już możesz normalnie uruchomić system, jeśli tak to pobierz OTL viewtopic.php?f=22&t=13967#p107754 i wykonaj nim nowe logi. Jeśli nadal będzie problem to wykonaj nowe logi przez OTLPE.

Rozumiem, ze moge spokojnie pendrive uruchomic pozniej na stacjonarnym i nie zbotuje nim systemu?

Tak.

[Mad]

Nie udalo mi sie go zbotowac ponownie. Wrzucilam tresc skryptu na usb- czy to moze byc przyczyna?
Mam komunikat:

A problem has been detected and windows has been shut down to prevent damage to your computer.
Session5_initializaton_failed.

If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any windows updates you might need.

If problems continue, disable or remowe any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical information:

***STOP: 0x00000071 (0x00000000, 0x00000000, 0x00000000, 0x00000000)

[Mad]

Wiec tak. Udalo sie go ponownie zbotowac, wprowadzilam skrypt i zrobilam wszystko, jak radziles.
No...i dziala Ozlocilabym Cie Czlowieku gdybym miala taka mozliwosc Serdecznie Ci Dziekuje!

Jestem na etapie pobierania OTL, ale od 20stu minut stoi w miejscu. Strasznie mi teraz muli. Jak tylko uda mi sie uzyskac logi, wkleje je na forum.

Jeszcze raz Dziekuje

[mateo8898]

Jeszcze o jednym zapomniałem. Oprócz logów z OTL, przydałby się jeszcze z Gmera viewtopic.php?f=22&t=13967#p88736

[Mad]

GMER: http://www.wklej.eu/index.php?id=138ccb4594
OTL: http://www.wklej.eu/index.php?id=0be5e178b9
Extras: http://www.wklej.eu/index.php?id=812afc9ec0

[mateo8898]

Więcej tu nic nie widać, jeszcze tylko kosmetycznie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"AzMixerSel"=-
"nwiz"=-
"NvMediaCenter"=-
"NvCplDaemon"=-

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Następnie:

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware (po instalacji wybierz wersję darmową) - jeśli coś znajdzie usuń i daj raport

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.1 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...)

[Mad]

Zabieg "kosmetyczny" wykonany. Malwer niczego nie znalazl Posprzatane CC oraz zrobiona aktualizacja FF.
Jedynie Adobe odkladam na polke do jutra, bo nie mam juz sily walczyc z komputerem. Dodam tylko, ze nie pamietam abym kiedykolwiek w swoim zyciu, byla tak pokorna

Jeszcze raz chcialabym Ci bardzo podziekowac Gratuluje Wiedzy (przede wszystkim) i Cierpliwosci Gdyby nie Ty, pewnie trafilabym do sewisu tudziez zmuszona bylabym zrobic format. Chyle czola

Na koniec jeszcze pytanie, ktore nie daje mi spokoju...
Dlaczego program antywirusowy nie zablokowal ustrojstwa? Moze moglbys polecic taki,ktory na przyszlosc ustrzeze mnie od tego typu sytuacji?
Zlotego srodka podobno nie ma, ale moze jednak

[mateo8898]

Zlotego srodka podobno nie ma, ale moze jednak

No właśnie nie ma, bo infekcja jest dopiero wtedy wykrywana, gdy producent antywira wyda aktualizację bazy wirusów i dana infekcja w tej aktualizacji będzie zawarta, a to może potrwać. W takim razie trudno tu polecać innego antywira, bo dziś wykryje infekcję, a jutro może znów innej nie wykryć. Bardzo prawdopodobne jest, że dziś już Twój Eset wykrywa ją.

Mogę Ci ewentualnie polecić jako dodatek do antywira jakiegoś HIPS`a tylko, że to wymaga już posiadanie większej wiedzy o systemie. Bo gdy uruchomisz jakiś nieznany plik to on się zapyta, czy np. zezwalasz na jakieś zmiany w rejestrze, utworzenie nowych plików, dodanie do autostartu itp. I wtedy trzeba wiedzieć, czy zablokować takie działanie czy zezwolić. Bo też klikanie "Zezwól" w każdym przypadku to nie jest żadna ochrona. Co do programów to np.:
Comodo Firewall http://www.instalki.pl/programy/downloa ... ewall.html (Firewall + HIPS - w tym przypadku to Defense+) + Sandobox.
GeSWall http://www.instalki.pl/programy/downloa ... SWall.html Opis programu masz tu http://forum.safegroup.pl/viewtopic.php?f=39&t=1155