Komputer został zablokowany z powodu naruszenia prawa Polskiego

[adraba]

Dobry wieczór.

Przyszła dziś do mnie (jako nieco bardziej zaawansowanego użytkownika) znajoma w stresie z problemem. Po krótkim pogooglaniu widzę, że jesteście bardzo skuteczni w rozwiązywaniu takowych.

Pomóżmy kobiecie...

 

W trybie awaryjnym:

- odinstalowałem Daemon Tools Lite

- wygenerowałem załączone raporty

 

Z góry dziękuję za pomoc.

Extras.Txt

OTL.Txt

[picasso]

W trybie awaryjnym:

- odinstalowałem Daemon Tools Lite

 

Ale to potrzebne do uruchamiania GMER ... który i tak nie jest zgodny z systemem 64-bit.

 

---

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-35358215-353998320-3441547852-1000..\Run: [WinSCard] C:\Users\x\AppData\Local\Microsoft\Windows\4225\WinSCard.exe ()
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\x\Desktop\PartyPoker.lnk File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\x\Desktop\PartyPoker.lnk File not found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106523"
IE - HKU\S-1-5-21-35358215-353998320-3441547852-1000\..\SearchScopes\{32A8A6A7-826A-42E7-B502-F0CCB916A5A0}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
IE - HKU\S-1-5-21-35358215-353998320-3441547852-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={7B01009C-3B10-4A2B-AA5A-9896FC4E579C}&mid=22b55885b0ac47d0be332104e486c3de-b59410e2274bc87acfe77271f4e11e803a221274&lang=pl&ds=gm011&pr=sa&d=2012-04-04 22:37:45&v=10.2.0.3&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-35358215-353998320-3441547852-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106523"
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - user.js..browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
FF - user.js..browser.search.defaultenginename: "Search the web"
FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
:Files
C:\Users\x\AppData\Local\Microsoft\Windows\4225
C:\Users\x\AppData\Roaming\hellomoto
C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\vvn0j42x.default\searchplugins\funmoods.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Usunięcie adware:

• Przez Panel sterowania odinstaluj: Funmoods on IE and Chrome, RewardsArcade, toolplugin, TucowsDownloads Toolbar, uTorrentBar Toolbar. Przy okazji możesz usunąć też AVG Security Toolbar, McAfee Security Scan Plus.
  
• Otwórz Firefox, wejdź do Dodatków i odinstaluj: Funmoods.com, RewardsArcade, toolplugin, TucowsDownloads Community Toolbar, uTorrentBar Community Toolbar
  
• Otwórz Google Chrome, wejdź do Opcji i w Rozszerzeniach odinstaluj: RewardsArcade, Funmoods, uTorrentBar. Od razu również zmień stronę startową oraz w menedżerze wyszukiwarek przestaw domyślną z AVG Secure Search na cokolwiek innego, następnie AVG usuń z listy.
  

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[adraba]

Dziękuję. Wykonałem według instrukcji.

Załączam wygenerowane logi.

07132012_183923.log.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-35358215-353998320-3441547852-1000\..\URLSearchHook: {178f4c0b-0457-45ba-8ec5-942db8fd1f22} - No CLSID value found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {178F4C0B-0457-45BA-8EC5-942DB8FD1F22} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {178F4C0B-0457-45BA-8EC5-942DB8FD1F22} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-21-35358215-353998320-3441547852-1000\..\Toolbar\WebBrowser: (no name) - {178F4C0B-0457-45BA-8EC5-942DB8FD1F22} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem pójdzie bez restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

5. Wykonaj podstawowe aktualizacje: KLIK. Widoczny brak dodatku SP1 dla Windows 7 oraz wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)

 

 

.

 

[adraba]

Wykonano zgodnie z instrukcją.

Anti-Malware znalazł trzy pozycje - pozwoliłem sobie zaznaczyć i kliknąć 'Usuń zaznaczone'. Załączam log utworzony po usunięciu.

 

Czy jest ok?

mbam-log-2012-07-14 (10-20-21)_po_usunieciu.txt

[picasso]

Te wyniki nie związane bezpośrednio ze sprawą, mają też nikłe znaczenie. MBAM nie podobają się elementy kasyna, możliwe że jest to nawet nadinterpretacja.