komputer został zablokowany z powodu naruszenia prawa polskiego wirus

[bezhamulca]

witam

 

Dzis i mnie to dopadło. Proszę o pomoc. Pliki w OTL utworzone po przywróceniu systemu XP.

 

Pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

Przywracałeś system, toteż już tylko doczyszczenie szczątków tej infekcji plus innych odpadków starszych infekcji:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\axvscsi.sys -- (axvscsi)
DRV - [2008-04-13 21:00:05 | 000,019,072 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tdi.sys -- (AVPsys)
FF - prefs.js..browser.search.order.1: "Ask.com"
IE - HKU\S-1-5-21-2000478354-796845957-725345543-1003\..\SearchScopes\{302ABC4D-BB28-4072-B2BA-3D387188BF1A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=923A7E90-4231-41E0-9161-26B2696BE234&apn_sauid=31A14407-5678-4249-AAF7-5B681E41F1BA"
O3 - HKU\S-1-5-21-2000478354-796845957-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2012-07-25 08:57:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\jarek\Application Data\hellomoto
[2012-04-03 21:03:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask
[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\jarek\Application Data\Mozilla\Firefox\Profiles\v67qn6dx.default\searchplugins\askcom.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

 

[bezhamulca]

witam

 

dziękuję za błyskawiczną pomoc. Oczywscie dotacja zostanie przekazana na rachunek bankowy

 

Pozdrawiam

OTL.Txt

[picasso]

Zadanie pomyślnie wykonane. Kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Podstawy aktualizacyjne do wykonania: KLIK. Z Twojej listy zainstalowanych o co mi chodzi, a antywirus jest mocno stary:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017F0}" = Java™ 6 Update 17
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{644CEC11-C3D3-4F8D-A935-74F1EEF38209}" = ESET NOD32 Antivirus
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Polish
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF) ----> już jest najnowsza
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)
"MySSID_is1" = Vtune 7.18
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2000478354-796845957-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.4.0

 

W ramach pobocznych dywagacji zakreślone i te:

- Gadu-Gadu 7.7: program jest kaleki i przestarzały. Nie obsługuje w pełni własnej sieci, jest też słabo zabezpieczony (brak szyfrowania połączeń). Proponuję żwawą nowoczesną alternatywę z dobrą obsługą sieci Gadu: WTW. Pełny opis komunikatora w artykule Darmowe komunikatory.

- Vtune 7.18: przestarzały tweaker, sterowniki z 2007, toteż sugeruję deinstalację.

 

DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)

 

 

Oczywscie dotacja zostanie przekazana na rachunek bankowy

 

Bardzo dziękuję.

 

 

.

[bezhamulca]

witam

 

dziękuję. Aktualizację zrobione . Malwarebytes Anti-Malware wykrył 3 szkodniki.

mbam-log-2012-07-27 (09-21-26).txt

[picasso]

Szkodniki rzeczywiste to Worm.Magania + Adware.WhenU i to od ręki likwiduj. Natomiast ten trzeci PUM.Disabled.SecurityCenter to kwestia interpretacji jak potraktować wyłączenie powiadomień Centrum zabezpieczeń, kto to zrobił (jeśli użytkownik samodzielnie = nic szkodliwego).

 

Końcowe kroki zadane. Aktualizacje twierdzisz zrobione. Temat rozwiązany. Daj sygnał do zamknięcia.

 

 

.

[bezhamulca]

witam

 

jesli te robaki eliminuje Malwarebytes to jest juz ok, bo po skanie nic nie wykrywa. Sprawdzanie legalnosci sytemu zostało wyłaczone przy okazji czyszczenia systemu.

 

jeszcze raz dziekuje za okazaną pomoc, cierpliwośc i fachowść. dotacja jest juz przekazana na wskazane konto. proszę zamknąc temat

 

Pozdrawiam