Kompletnie zablokowany komputer..."METROPOLITAN POLICE"

[malutka]

Witam,

dziś kilkanaście min po odpaleniu laptopa i wejściu na stronę o filmach by poczytać recenzje. Wyskoczył komunikat, że jest blokada przez Police Central e-crime. I jak wpłacę na Ukash 100 funtów to komputer będzie odblokowany. Nic nie mogę zrobić, jak wyłączam to po uruchomieniu ponownie jest ta "stronka" z informacją. Czytałam, że trzeba uruchomić w trybie awaryjnym, lecz ja tego nie stosowałam za często i nie chcę nic robić na własną rękę. Aktualnie korzystam z innego komputera. Liczę na pomoc. I jak zawsze pozdrawiam ekipę fixitpc.

 

PS

Nie włącza mi się w ogóle tryb awaryjny na win 7

[picasso]

malutka, zasady działu w kwestii tworzenia postów pod postem: KLIK. W celu uzupełnienia informacji, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty sklejam.

 

 

Nie włącza mi się w ogóle tryb awaryjny na win 7

 

No ale objaśnij na czym to polega? Czy wykonujesz czynności jak w tym opisie: KLIK? Co się dzieje?

 

 

.

[malutka]

Wiem picasso, wybacz że post pod postem trochę nie pomyślałam... bo masakrycznie wkurza mnie ten wirus.

 

Owszem robiłam z F8 vel F5 i normalnie się włącza do momentu zagrania melodii startu i zaraz ta plansza z wirusem

Ponoć podobnie miał ten kolega :

https://www.fixitpc.pl/topic/9764-poradnik-ukash-malwareransomware-win7x64/

 

Ale jego sposób mi nie zadziałał.

 

Edit

Coś dziwnego... teraz po wyjęciu baterii i ponownym starcie pojawiło się jakby update że coś się aktualizowało. Restart. Gdy pojawił się czarny ekran przytrzymałam F8 dalej był czarny ekran tylko widniała strzałka którą poruszałam. Gdy przestałam nią ruszać komputer uruchomił się bez trybu wyboru administratora. Hm. Nie wiem czy to jest "tryb awaryjny" na moim kompie, ale raczej nie. Jak pojawił się pulpit od razu uruchomiłam adwcleaner i kliknęłam delete komp się restartował włączył od razu ale bez opcji wyboru użytkownika, hm? A od samego początku zawsze tak było, że musiałam wybrać.

 

Edit II

Komp normalnie chodzi ale gdy nie ma połączenia z internetem. Zaraz po podpięciu kabla pojawia się ta wkurzająca strona.

Wykonałam wszelkie logi jakie przyszły mi do głowy.

 

OTL

http://wklej.org/id/789707/

 

Extras

http://wklej.org/id/789708/

 

mbam

http://wklej.org/id/789710/

 

Zaznaczone powyżej infekcje usunęłam.

 

AdwCleaner

http://wklej.org/id/789711/

Edytowane 13 Lipca 2012 przez malutka

[picasso]

Wykonałam wszelkie logi jakie przyszły mi do głowy.

 

Ale tu w obowiazkowych są tylko OTL ... AdwCleaner jest stosowany tylko w określonych okolicznościach, do usuwania adware (o ile wykryte). Uruchamiałaś program z opcji Delete i to nadmierną ilość razy:

 

AdwCleaner[R1].txt - [8721 octets] - [16/06/2012 19:39:24]
AdwCleaner[s1].txt - [7871 octets] - [24/06/2012 13:05:46]
AdwCleaner[s2].txt - [1242 octets] - [13/07/2012 00:12:50]
AdwCleaner[s3].txt - [1173 octets] - [13/07/2012 13:50:41]

 

Zaznaczone powyżej infekcje usunęłam.

 

MBAM nie wykrył tej infekcji ... ale w logach z OTL w ogóle nie widać wpisu startowego. Czy na pewno to logi z właściwego konta, a jeżeli to czy na pewno nadal jest problem z tą planszą blokującą?

 

 

 

.

[malutka]

AdwCleaner stosowałam gdy Belfegor o to prosił w innym moim temacie z innym problemem.

 

Problem nadal występuje. Z tym że teraz odpala się komputer niby normalnie, dlaczego niby? Gdyż nie wyskakuje mi opcja wyboru użytkownika od razu pulpit mi się wyświetla. Także tylko tak mogłam wykonać logi OTL. Wczoraj gdy tylko było połączenie z internetem wyskakiwała ta plansza, przed chwilą nie, ale gdy tylko starałam się odpalić przeglądarkę tak się stało. Nie wiem tego na pewno, ale wg mnie ten wirus jest jakoś kompatybilny z FF i IE w moim przypadku. Czytałam wiele postów tu na forum i identycznego problemu nie było. Wiele osób ma tą planszę po polsku a ja po angielsku, u wielu działa tryb awaryjny a u mnie jak opisałam wcześniej.

[picasso]

Wiele osób ma tą planszę po polsku a ja po angielsku, u wielu działa tryb awaryjny a u mnie jak opisałam wcześniej.

 

Język planszy nie jest istotny. Ten typ infekcji ogólnie jest "modalny" i w oparciu o wykryte IP podsuwa komunikat w języku dopasowanym do detekcji. Ten typ ransomware to nie jest polska infekcja, to infekcja międzynarodowa. Podsuwa plansze niemieckie, francuskie, holenderskie, polskie ... U mnie np. nie byłoby komunikatu polskiego UKASH, tylko w języku mojego kraju. Aczkolwiek fakt, masz inne wydanie niż 99% z blokadami tutaj.

 

 

Problem nadal występuje. Z tym że teraz odpala się komputer niby normalnie, dlaczego niby? Gdyż nie wyskakuje mi opcja wyboru użytkownika od razu pulpit mi się wyświetla.

 

Z przemęczenia kompletnie mnie zaćmiło. Elementy u Ciebie to:

 

========== Modules (No Company Name) ==========
 
MOD - [2012-07-12 12:42:43 | 000,203,776 | ---- | M] () -- C:\Users\niutka\AppData\Local\Temp\glom0_og.exe
 
========== Files Created - No Company Name ==========
 
[2012-07-12 12:42:44 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad
[2012-07-12 12:42:44 | 000,001,887 | ---- | C] () -- C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012-07-11 18:00:52 | 000,004,096 | ---- | C] () -- C:\Users\Public\Documents\000019F5.LCS

 

A tu masz dokładniejszy opis tego trojana: KLIK. Podaję by wypunktować, że winę ponosi m.in. przestarzała Java. Do tego jeszcze przejdziemy. Nie czas na te dywagacje.

 

 

---

Przechodzimy do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\go_0molg.pad
C:\Users\Public\Documents\000019F5.LCS
C:\Users\niutka\AppData\Roaming\Yandex
C:\Users\niutka\AppData\Roaming\_MDLogs
C:\Users\niutka\AppData\Roaming\Mozilla\Firefox\Profiles\mquktp0f.default\searchplugins\badoo.xml
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.startup.homepage: "http://badoo.com/startpage/"
FF - prefs.js..keyword.URL: "http://badoo.com/startpage/?source=bsb&q="
O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Moikrug]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Yandex]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i mam nadzieję, że blokada puści. Otworzy się log z wynikami usuwania.

 

2. Otwórz Firefox, wejdź do Dodatków i odmontuj to rosyjskie rozszerzenie kierujące na Yandex.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

.

[malutka]

Język planszy nie jest istotny. Ten typ infekcji ogólnie jest "modalny" i w oparciu o wykryte IP podsuwa komunikat w języku dopasowanym do detekcji.

 

Dziękuję picasso. Ale wiesz, troszkę bym się sprzeczała. Gdyż obecnie jestem w PL, a IP i miejscowość podana na tej planszy w ogóle się nie zgadzają. Komputer był używany na terenie Holandii, Ukrainy, Rosji, ale w większości czasu w Polsce w różnych miejscach. I za kazdym razem IP się zmienia przecież, a tu jest podane jakieś "z kosmosu". Nadal nie pokazuje mi się wybór użytkownika. Oraz za każdym nowym uruchomieniem wyskakuje błąd z jakąś pozostałością po wirusie jak mniemam.

 

http://www.fotosik.p...28195db859.html

 

1. OTL z usuwania

http://wklej.org/id/790339/

 

2. Wywalone te rozszerzenie.

 

3. OTL

http://wklej.org/id/791052/

 

Uff Przeglądarka normalnie działa. A odnośnie tej Javy to mam z nią problem od pewnego czasu, gdyż aktualizowałam ja wielokrotnie i ciągle jest stara wersja. A objawia się to tym, że nie działają mi filmiki na YT oraz gry online. Nie wiem czy to miało główny powód że zaatakował mnie ten wirus, ale na rzeczy coś jest.

[picasso]

Ale wiesz, troszkę bym się sprzeczała. Gdyż obecnie jestem w PL, a IP i miejscowość podana na tej planszy w ogóle się nie zgadzają.

 

No tak, zgadzam się, zaznaczyłam, że tu jest inny wariant. Ale plansze UKASH są IP-aware, dlatego polscy użytkownicy widzą polski komunikat.

 

 

Nadal nie pokazuje mi się wybór użytkownika. Oraz za każdym nowym uruchomieniem wyskakuje błąd z jakąś pozostałością po wirusie jak mniemam.

 

Podaj mi skan dostosowany. Uruchom SystemLook x64 i w oknie wklej:

 

:regfind
glom0_og.exe

 

Klik w Look i przedstaw raport wynikowy.

 

 

.

[malutka]

Raport z SystemLook:

 

http://wklej.org/id/790370/

 

Po restarcie dalej wyskakuje ten komunikat ze screen'u, oraz nadal nie ma wyboru użytkownika. W sumie może i "pal sześć" tego administratora, choć na każdym systemie tak mam. Gorzej że ten błąd wyskakuje. Hm, plus Malwarebytes Anti-Malware komunikuje, że blokuje dostęp do stron i lecą jakieś cyfry. Zamykam komunikat i znowu aż przeskoczy ileś tam wyliczeń. A stronę mam otwartą tylko na fixitpc. Piszę to dodatkowo, gdyż to taka nowość kolejna dla mnie. Może ma to jakiś związek?

[picasso]

Hmmm, z rejestru brak wyników. Zrób log z OTL bez filtrowania, czyli konfiguracja: Rejestr ustaw na Wszystko, resztę na Brak.

[malutka]

http://wklej.org/id/790411/

 

A tak wygląda u mnie "oglądanie" YT, może ktoś się spotkał z takim ekranem?

 

http://www.fotosik.pl/pokaz_obrazek/bc60c3bd5fc4fd3f.html

[picasso]

Usuwałam w skrypcie wpis startowy:

 

:Files
C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

 

OTL twierdził, że to pomyślnie wykonane:

 

========== FILES ==========
C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.

 

Skan bez filtrowania OTL pokazuje, że ten skrót wcale nie został usunięty:

 

O4 - Startup: C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\Windows\SysWOW64\rundll32.exe (Microsoft Corporation)

 

Wpis nie był widzialny, ponieważ docelowo kieruje na plik MS, a to ukrywa właśnie filtrowanie w OTL. Czyli przez SHIFT + DEL skasuj ten skrót:

 

C:\Users\niutka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

 

Zresetuj system i podaj jak wygląda logowanie użytkownika i czy błąd ustąpił.

 

 

A tak wygląda u mnie "oglądanie" YT, może ktoś się spotkał z takim ekranem?

 

Temat z forum: KLIK. Twoja wersja wtyczki Adobe Flash w Firefox:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll ()

 

Po pierwsze: jest już nowsza i zaktualizuj (KLIK). Po drugie: jeśli po aktualizacji nie nastąpi poprawa, do wypróbowania instrukcje wyłączenia trybu "protected" Adobe Flash.

 

 

 

.

 

[malutka]

Usunęłam ten plik, błąd już się nie pojawia, jednak nie ma wyboru administratora.

Aktualizowałam Adobe Flash do wersji na stronie czyli 11.3.300.265 zresetowałam ponownie, pierwszy filmik normalnie leciał, zmieniłam i już nic się nie włączyło, dalej błąd.

Zrobiłam więc tak : (nie wiem czy dobrze)

Start > services.msc > jako Administrator > odnalazłam ICS i przestawiłam na typ wyłączony

 

Dodam tylko, że w panelu sterowania odnalazłam Flash Player (32-bit) a ja mam system 64 bitowy.

 

Prócz w/w problemów, laptop bardzo ładnie chodzi. Zauważam to po otwieraniu przeglądarki, czasie uruchamiania oraz temperaturze mierzonej HWiNFO64. Wcześniej strasznie było Tem, CPU wynosiła nawet 93 stopnie. Potem z pomocą użytkowników fixitpc spadła do 70 podczas grania, jednak po dosłownie kilku dniach stale się utrzymywała a nawet rosła do 85 gdzie jedynie jedna strona była otworzona. Teraz mam 51 stopni Moim skromnym zdaniem za wyłączanie się laptopa i przerost temperatury odpowiadała jakaś infekcja lub błąd który teraz został usunięty.

[picasso]

Zamknięcie sprawy czyszczenia infekcji:

 

1. W OTL uruchom Sprzątanie, które usunie z dysku kwarantannę z trojanami i OTL jako taki.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj podstawy aktualizacyjne, do linka już kierowałam: KLIK. Adobe Flash już był tu męczony (w wersji dla FF), ale jeszcze te wersje wymagają interwencji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417004FF}" = Java™ 7 Update 4 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{90140011-0066-0409-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - English ----> brak pakietu SP1
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla Internet Explorer) ----> sprawdź wersję
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox) ----> właśnie aktualizowana
"Adobe Shockwave Player" = Adobe Shockwave Player 11.52.3.1293
"Foxit Reader_is1" = Foxit Reader 5.1
"Office14.Click2Run" = Microsoft Office Click-to-Run 2010

 

A odnośnie tej Javy to mam z nią problem od pewnego czasu, gdyż aktualizowałam ja wielokrotnie i ciągle jest stara wersja.

 

Tu są dwie Javy: Java 64-bit (działa tylko w 64-bitowych przeglądarkach) oraz Java 32-bit (działa tylko w 32-bitowych przeglądarkach). Usuń obie. Zainstaluj najnowszą wersję Java 32-bit.

 

 

Aktualizowałam Adobe Flash do wersji na stronie czyli 11.3.300.265 zresetowałam ponownie, pierwszy filmik normalnie leciał, zmieniłam i już nic się nie włączyło, dalej błąd.

Zrobiłam więc tak : (nie wiem czy dobrze)

Start > services.msc > jako Administrator > odnalazłam ICS i przestawiłam na typ wyłączony

 

Nie rozumiem akcji z services.msc ... Miałaś wykonać to: KLIK.

 

 

Dodam tylko, że w panelu sterowania odnalazłam Flash Player (32-bit) a ja mam system 64 bitowy.

 

Dla jasności: system 64-bit, ale Flash jest 32-bitowy, bo używasz 32-bitowych przeglądarek. Natywnie 64-bitowa wersja Flash nie będzie działać w 32-bitowych przeglądarkach i vice versa. Szybkie zestawienie:

- 32-bitowy Flash działa w 32-bitowym Internet Explorer (domyślny przypięty na Pasku zadań), Firefox, Google Chrome, Opera.

- 64-bitowy Flash działa tylko w 64-bitowym Internet Explorer (skrót do tej wersji w Menu Start) oraz eksperymentalnych wersjach Firefox.

Analogicznie jest z Java. O czym wyżej wspominam.

 

 

Usunęłam ten plik, błąd już się nie pojawia, jednak nie ma wyboru administratora.

 

Ale zaraz ... czy to w ogóle problem? Na systemach Windows 7 i Vista konto "Administrator" jest domyślnie wyłączone. To domyślna postać rzeczy.

 

 

 

PS. Gadu-Gadu 10 = to ciężki program dręczący zasoby systemu i jeszcze te paskudne reklamy. Sugeruję wymianę alternatywnym programem z obsługą sieci Gadu. W moim artykule Darmowe komunikatory przewertuj opisy: AQQ, Kadu, WTW, Miranda. Pogrubiony jest przeze mnie polecany.

 

 

.

[malutka]

Dziękuję, naprawdę Wielkie dzięki za pomoc picasso.

 

Zrobiłam tak jak napisałaś, i owszem cieszyłam się, że wszystkie play'ery online działają, z wyjątkiem gier. Do pierwszego resetu kompa, problem znowu powrócił. Działa tylko na podobnej stornie do YT, a na innych ciągle błąd wyświetla. Najśmieszniejsze jeszcze teraz jest to, że wczytują mi się tylko ulubione strony na FF, wpisując ręcznie adres np google pokazuje iż nie ma połączenia z internetem. A na IE w ogóle nic. Połączenie oczywiście jest. Kiedyś też tak miałam ale na starszej wersji FF gdzie powstało to po aktualizacji, jednakże IE normalnie się otwierał. Komedia, czarna rozpacz co z tymi przeglądarkami jest nie tak

[picasso]

Najśmieszniejsze jeszcze teraz jest to, że wczytują mi się tylko ulubione strony na FF, wpisując ręcznie adres np google pokazuje iż nie ma połączenia z internetem. A na IE w ogóle nic. Połączenie oczywiście jest.

 

Czyli mam rozumieć, że przeglądarki nie chcą się łączyć, a w Internet Explorer żadna strona nie wchodzi? W związku z tym poproszę jednak o nowe logi z OTL.

 

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso