Komputer został zablokowany z powodu naruszenia prawa polskiego.

[numlock]

Witam, komputer został zainfekowany przez ten wirus i nie jestem w stanie sobie z nim poradzić. System operacyjny Windows Vista business 32bit. Laptop Dell inspiron 6400. Czekam na w miare szybką odpowiedź.

 

Logi:

OTL.Txt

Extras.Txt

[picasso]

Dla ścisłości: to nie jest wirus, to jest "ransomware". Miotałeś się z ComboFix, a ani słowa o tym, już nie można sprawdzić co robił, bo ślady sugerują, iż został odinstalowany.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [WSManMigrationPlugin] C:\Users\Jacek\AppData\Local\Microsoft\Windows\411\WSManMigrationPlugin.exe ()
O2 - BHO: (Smart-Shopper) - {4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} - C:\Program Files\Smart-Shopper\Bin\2.6.42\Smrt-Shpr.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O9 - Extra Button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - C:\Program Files\Smart-Shopper\Bin\2.6.42\Smrt-Shpr.dll File not found
O9 - Extra Button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - C:\Program Files\Smart-Shopper\Bin\2.6.42\Smrt-Shpr.dll File not found
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=BLP"
IE - HKCU\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&fr=chr-tyc8"
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe -- (PavPrSrv)
DRV - File not found [Kernel | System | Stopped] -- system32\Drivers\ShlDrv51.sys -- (ShldDrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\DRIVERS\PavProc.sys -- (PavProc)
 
:Files
C:\Users\Jacek\AppData\Local\Microsoft\Windows\411
C:\Users\Jacek\AppData\Roaming\hellomoto
C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, SmartShopper (ten drugi to najwyraźniej już martwy pusty wpis) oraz całą serię Yahoo! Toolbar, Yahoo! Search Protection, Yahoo! Software Update, Yahoo! Install Manager, Yahoo! BrowserPlus 2.9.2.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[numlock]

Wykonałem wszystko według instrukcji. Dodaje jeszcze loga z malwarebyte ponieważ skanowalem nim w miedzyczasie czekając na odp

OTL.Txt

mbam-log-2012-07-18 (15-49-14).txt

AdwCleanerS1.txt

usuwanie.txt

[picasso]

Log z OTL zrobiony teraz z poziomu Trybu awaryjnego, jaki powód skoro system został odblokowany? MBAM w 99% wykrył szczątki adware SmartShopper. Wszystko zrobione, prujemy ku zamknięciom:

 

1. Mini poprawka na odpadki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.shareware.pro/?lang=pl"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.shareware.pro/?lang=pl"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKLM..\Run: [LanzarP2006] "C:\Users\Jacek\AppData\Local\Temp\P2006tmp\Install.exe" /SETUP:"/l0x0015" File not found
O4 - HKCU..\Run: [search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe File not found
 
:Files
rd /s /q C:\Windows\erdnt /C
C:\Windows\is-1OKD0.exe
C:\Windows\is-1OKD0.msg
C:\Windows\is-1OKD0.lst

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych wykaz wersji, o które mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 26
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.2.5 (Full)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

 

Gadu-Gadu 7.7 też tu punktuję, gdyż to wersja słabo zabezpieczona, brak szyfrowanych połączeń (możliwość podsłuchu), a poza tym niezgodna z własną siecią. Jeśli szukasz mało męczącej system skromnej alternatywy z dobrą obsługą sieci Gadu, to proponuję WTW. Opis znajdziesz w artykule Darmowe komunikatory.

 

5. Rysuje się problem z dyskiem twardym. W Dzienniku zdarzeń są nagrane rekordy punktujące bad blocki:

 

Error - 2012-07-18 09:41:39 | Computer Name = Jacek-PC | Source = disk | ID = 262151
Description = The device, \Device\Harddisk0\DR0, has a bad block.

 

Pod tym kątem nowy temat w dziale Hardware z prezentacją wyników skanu + SMART MHDD.

 

 

.

[numlock]

postawiłem system na nowo bo się strasznie zamulił ten komputer po tych czynnościach, wielkie dzięki za pomoc ! pozdrawiam