Komputer zablokowany przez policję

[AdamTrzebat]

Witam mam problem jak dużo ludzi na tym forum a nie wiem jak się go pozbyć a dokładniej twój komputer został zablokowany za odwiedzanie nielegalny stron(youtube),lub posiadanie plików.

Czy jest to możliwe że podczas instalowania gry jak wyskoczyło mi czy chce zainstalować fun mods dla mozilli czy coś takiego to to mi ściągneło tego wirusa??

Mam Win 7 32bit.

Bardzo bym prosił o jak najszybszą pomoc bo nie jest to komputer mój lecz mojego taty a on wraca za 8 dni do domu, i jak to zobaczy to pewnie mnie zabije.

Wyskoczyło mi to po wejściu na youtube. Dobra po 17 minutach skan się skończył.

Oto wyniki.

Extras.Txt

OTL.Txt

[Landuss]

A ty przestań spamować i podbijać temat. Usuwam te posty. My kompletnie nie zwracamy na to uwagi a jeszcze mozesz pogorszyć sprawę. POmagamy wtedy kiedy mamy ochotę, czas i jesteśmy obecni tutaj.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\ZDPNDIS5.SYS -- (ZDPNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva398.sys -- (XDva398)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\kebkrpox.sys -- (Micorsoft Windows Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwavdt.sys -- (btwavdt)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758"
IE - HKLM\..\SearchScopes\{10F27E35-F6F7-510C-15CE-41B544EA86DF}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=0c6f7f05000000000000722f68700101"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758"
IE - HKCU\..\SearchScopes\{10F27E35-F6F7-510C-15CE-41B544EA86DF}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=0c6f7f05000000000000722f68700101"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
[2012-04-27 07:05:21 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012-07-15 17:00:38 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
[2012-08-04 19:50:04 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\501d6dfbd4378@501d6dfbd43b1.info
[2012-08-05 19:52:37 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\ffxtlbr@funmoods.com
[2012-04-25 11:41:56 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [DpaDrsvl] C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found
O4 - HKCU..\Run: [slpnpjmsunllayr] C:\ProgramData\slpnpjms.exe (Origin PC)
O20 - HKLM Winlogon: UserInit - (C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe) - C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found
 
:Files
C:\Users\Adam\ms.exe
C:\ProgramData\qoncmjepijpbcns
C:\ProgramData\xgthdccauqqutio
C:\Users\Adam\0.9213110698117829.exe
C:\Users\Adam\AppData\Roaming\ijjigame
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"Backup.Old.DefaultScope"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
"Backup.Old.DefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: RelevantKnowledge / DealPly / Funmoods Web Search / PriceGong 2.6.4

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[AdamTrzebat]

A ten AdwCleaner mam ściągnąć z kąś bo ja go nie mam??

[Landuss]

Przecież ci dałem linka jak na tacy i w dodatku wyróżniłem kolorem. Kliknij i pobieraj.

[AdamTrzebat]

Dobra już użyłem Adw 2 razy na wszelki wypadek.

A tu wyniki z otl.

 

 

Prosze sorka że tak długo trwało ale to wina skanu.

OTL.Txt

[Landuss]

Nie wszystko się usunęło. Wykonaj jeszcze jeden skrypt poprawkowy.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\kebkrpox.sys -- (Micorsoft Windows Service)
O2 - BHO: (DownloadnSave Class) - {1E25D9EE-9704-7F1B-8A47-34CF29EE310B} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found
O4 - HKCU..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found
O4 - HKCU..\Run: [DpaDrsvl] C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found
[2012-08-06 14:06:19 | 000,000,000 | ---- | C] () -- C:\ProgramData\f42241223b29aea2cab90f611f46052b_c
[2012-07-30 22:58:15 | 000,093,320 | ---- | C] () -- C:\Users\Adam\0.8269413380941101.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[AdamTrzebat]

Komputer mi się jednym słowem zjeb** po tym poprawkowym skrypcie a nie wiem jak to naprawić pomóż.

 

Wyskakuje mi info że logowanie niema sensu czy coś takiego i mam się skontaktować z sprzedawcą systemu czy coś takiego.

Wszystko dokładnie skopiowałem i wkleiłem. Pisze z drugiego komputera.

[Landuss]

Spróbuj się zalogować w tryb awaryjny z obsługą sieci. No chyba, że tam też masz taki błąd.

[AdamTrzebat]

nie było mnie jakieś 30 minut w domu i się zalogował na awaryjnym ale nie wiem czy to mi znowu nie wyskoczy na normalnym.

Właśnie włączyłem żeby mi zeskanował. I może to pomoże znaleźć problem?

 

Prosze oto wyniki skanowania.

 

Prosze oto wyniki skanowania.

OTL.Txt

[Landuss]

Według logów infekcja poprawnie usunięta. Tylko jeszcze jedna rzecz do skorygowania w rejestrze.

 

Wklej do notatnika systemowego ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DpaDrsvl"=-

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

Daj znać czy problem ustał.

[AdamTrzebat]

A czy mógł byś mi powiedzieć gdzie dokładnie to wkleić bo widziałem na twoim profilu że się interesujesz informatyką a ja umiem tylko tyle co mnie w szkole nauczyli.

[Landuss]

Przecież ci napisałem - w Notatnik systemowy masz to wkleić.

[AdamTrzebat]

Pomogło tylko tyle że znikneło mi okno z napisem "ZAPRASZAMY" i pojawił się czarny ekran a na nim kursor i nic więcej się nie wydarzyło.

Natomiast w trybie awryjnym loguje się prawie odrazu

 

Prosze może komuś to pomoże zrobiłem skan i wszędzie zaznaczyłem wszystkie.

Edytowane 15 Sierpnia 2012 przez picasso
Usuwam wadliwe załączniki. //picasso

[Landuss]

Jeszcze raz wykonaj fix.reg bo nadal to się nie usunęło. I nie rób loga na ustawieniu "Wszystko". To jest niepoprawne ustawieni, ma być na filtrowaniu.

[picasso]

Landuss

 

https://www.fixitpc.pl/topic/11833-nie-moge-sie-zalogowac/page__p__83211#entry83211

 

Rozpoczął nowy temat w dziale Windows, a przecież nadal jest tu nieskończona sprawa. Tu należy przekierować dalszą diagnostykę.

 

 

AdamTrzebat

 

Podaj log z GMER.

 

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso