DiegoSepret Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Witam. Z tego co czytam temat był poruszany nie raz, więc chyba wiadomo o co chodzi (komunikat "Komputer został zablokowany z powodu naruszenie prawa polskiego" i blokada komputera) Proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1177238034-494793193-1938755863-1000..\Run: [TimeDateMUICallback] C:\Users\jacek\AppData\Local\Microsoft\Windows\3355\TimeDateMUICallback.exe () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NapsterShell] C:\Program Files\Napster\napster.exe /systray File not found O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\jacek\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}" SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\SureThing Shared\stllssvr.exe -- (stllssvr) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) :Files C:\Users\jacek\AppData\Local\Microsoft\Windows\3355 C:\Users\jacek\AppData\Roaming\hellomoto C:\Users\jacek\AppData\Roaming\Mozilla\Firefox\Profiles\57o4pwso.default\searchplugins\conduit.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Otwórz Firefox i w Dodatkach odinstaluj adware Conduit Engine + Veoh Web Player Community Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. PS. Od wyrobów Paretologic trzymaj się z daleka. Naciągacze. Czy odinstalowałeś to? Widżę katalogi na dysku. . Odnośnik do komentarza
DiegoSepret Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Zrobiłem wszystko chyba poprawnie. Przesyłam załączniki: AdwCleanerS1.txt OTL.Txt 07172012_160053.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Wszystko zrobione. Nie odpowiedziałeś jednak na pytanie o status obecności wyrobów Paretologic. Ponadto, pojawił się nowy podejrzany obiekt, czyli podpięty pendrive F z ukrytym przemianowanym plikiem autorun.inf > autorun.0nf: O32 - AutoRun File - [2008/09/21 10:46:02 | 000,000,105 | RHS- | M] () - F:\autorun.0nf -- [ FAT ] W poprzednim logu były w rejestrze ślady podpinania zainfekowanego nośnika mapowanego jako F. Teraz widzę, że nośnik jest w obrotach. Proszę przy podpiętym nośniku wygenerować log z USBFix z opcji Listing. . Odnośnik do komentarza
DiegoSepret Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Nie przypominam sobie, abym instalował któryś z wyrobów Paretologic (znaleźć w komputerze też nie mogłem). Przeskanowałem USBFix'em; oto co wyszło: UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2012 Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Nie przypominam sobie, abym instalował któryś z wyrobów Paretologic (znaleźć w komputerze też nie mogłem). Może to była jakaś instalacja "wiązana". W związku z tym skasuj z dysku te foldery: C:\Users\jacek\AppData\Roaming\DriverCure C:\Users\jacek\AppData\Roaming\ParetoLogic C:\ProgramData\ParetoLogic Przeskanowałem USBFix'em; oto co wyszło Nie wygląda, by tu była czynna infekcja. Skasuj przez SHIFT + DEL ten przemianowany ukryty plik I:\autorun.0nf oraz prewencyjnie także Kosz urządzenia I:\Recycled. I możemy kończyć czyszczenie wg kroków: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, odinstaluj USBFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 4. Istotne aktualizacje do przeprowadzenia: KLIK. Twój raport OTL wykazuje krytyczny poziom zabezpieczeń: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.16982) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 23"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"ffdshow_is1" = ffdshow [rev 3130] [2009-11-08]"KLiteCodecPack_is1" = K-Lite Codec Pack 4.6.2 (Full) System kompletnie nie aktualizowany, brak wszystkich pakietów SP i stary wewnętrzny IE. Tak niski poziom aktualizacji jest podejrzany, czy na pewno nie ma tu błędów / problemów z Windows Update? W pierwszej kolejności zaktualizuj system od A do Z, potwierdź mi wykonanie akcji, w przeciwnym wypadku opisz co się dzieje. Następnie wszystkie zdegenerowane Java + Adobe na bruk i wymiana najnowszymi wersjami. Kodeki też zakreślam, bo są stare i mogą prędzej czy później ujawnić się jakieś błędy w systemie ... PS. Gadu-Gadu 10 polecam wymienić. Program ciężki, dręczy zasoby, dręczy reklamami. Są przyjaźniejsze alternatywy z obsługą sieci Gadu, takie jak: WTW, AQQ, Kadu, Miranda. Opisy znajdziesz w artykule Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi