piotrlaz Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam! Mam następujący problem: kilka minut po uruchomieniu komputera i przeglądarki Firefox, na ekranie wyświetlił mi się komunikat: "Komputer został zablokowany z powodu naruszenia prawa polskiego". Dalej proponują mi zapłacenie grzywny 300zł za pomocą kuponu Ukash. Nie podejmowałem żadnych prób naprawienia tylko włączyłem tryb awaryjny z obsługą sieci. Zgodnie z instrukcją załączam pliki OLT oraz Extras. Proszę o pomoc. Poniżej wynik SecurityCheck: Results of screen317's Security Check version 0.99.43 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Driver Cleaner 3 Java™ 6 Update 31 Java version out of Date! Adobe Reader X (10.1.3) Mozilla Firefox (14.0.1) Mozilla Thunderbird (14.0.) Google Chrome 20.0.1132.47 Google Chrome 20.0.1132.57 ````````Process Check: objlist.exe by Laurent```````` CheckPoint ZoneAlarm vsmon.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Ta infekcja jednak została czymś naruszona, wpis startowy jest wyszczerbiony. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [taskbarcpl] C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862\taskbarcpl.exe File not found IE - HKU\S-1-5-21-4117891386-3435434258-2628279634-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112542&tt=190712_n_mont_2912_3&babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf&tlver=1.5.29.1&instlRef=sst&babTrack&q=" :Files C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 C:\Users\Piotr\AppData\Roaming\hellomoto C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\user.js C:\Windows\Tasks\{*}.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, w Firefox w Dodatkach powtórz usuwanie tego samego. Zaś w Google Chrome przestaw stronę startową. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
piotrlaz Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Dziękuję, oto wyniki moich działań: 1. Log OTL z usuwania (wklejam bo nie daje się załączyć): All processes killed ========== OTL ========== 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\taskbarcpl deleted successfully. Registry key HKEY_USERS\S-1-5-21-4117891386-3435434258-2628279634-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Prefs.js: "http://search.babylon.com/?babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf&tlver=1.5.29.1&instlRef=sst&babTrack&q=" removed from keyword.URL ========== FILES ========== C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 folder moved successfully. C:\Users\Piotr\AppData\Roaming\hellomoto folder moved successfully. C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml moved successfully. C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml moved successfully. C:\user.js moved successfully. C:\Windows\Tasks\{6EAA0712-3D4C-47B3-A800-CF0F5AC2A98D}.job moved successfully. C:\Windows\Tasks\{81E51B78-4BC8-491B-868B-E28429A29C1A}.job moved successfully. C:\Windows\Tasks\{A3E496CA-7A86-436F-92D4-3D1FC0D705F1}.job moved successfully. C:\Windows\Tasks\{D8B6FAB5-CAC2-4111-A67F-4E9C63EA4472}.job moved successfully. C:\Windows\Tasks\{DA4E311A-229F-4DAA-804E-622E00EC9FC6}.job moved successfully. C:\Windows\Tasks\{F04ED52A-E6B2-48DD-9024-A8F0E4A74D38}.job moved successfully. C:\Windows\Tasks\{F3E96F93-EC86-4E48-9209-E3E61F187C86}.job moved successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56466 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Piotr ->Temp folder emptied: 52780824 bytes ->Temporary Internet Files folder emptied: 5310773 bytes ->Java cache emptied: 18694083 bytes ->FireFox cache emptied: 133599178 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 602 bytes User: Public User: UpdatusUser ->Temp folder emptied: 1120616 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 121423451 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 26199264 bytes Total Files Cleaned = 343,00 mb OTL by OldTimer - Version 3.2.54.1 log created on 07262012_071719 Files\Folders moved on Reboot... C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File\Folder C:\Windows\temp\ZLT07c92.TMP not found! PendingFileRenameOperations files... File C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Windows\temp\ZLT07c92.TMP not found! Registry entries deleted on Reboot... 2. W załączeniu log AdwCleaner i ostatni log OTL AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Plik nie chciał się załączyć, bo załączniki akceptują tylko rozszerzenie *.TXT a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Wszystko zrobione i kończymy: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. W systemie obecna 32-bitowa Java 6 Update 31, zaktualizuj ją: KLIK. PS. W systemie jest zainstalowany obiekt Sunrise Seven 1.1.54. Program ten udostępnia zabójczą opcję czyszczenia FileRepository. Nie rób tego. Akcja czyni szkody w systemie, pojawiają się skutki uboczne w postaci problemów z aktualizacjami i instalacjami sterowników do nowo podpinanych urządzeń. EDIT: Zagadnienie błędu Przywracania systemu wydzielone w osobny temat: KLIK. Tutaj zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi