UKASH - komputer został zablokowany...

[19david90]

Witam,

 

Dostałem komputer od znajomej, która złapała ostatnio dość popularnego wirusa.

"komputer został zablokowany z powodu naruszenia prawa polskiego"

Posiadam Windows Vista Home.

Przyznam się, że już kombinowałem z combofixem.

W załączniku logi z OTL.

 

Bardzo proszę o pomoc.

OTL.Txt

Extras.Txt

ComboFix.txt

[picasso]

ComboFix został uruchomiony niepotrzebnie. Jedynie co zrobił, to brutalne usunięcie adware AutoCompletePro (co można było załatwić inaczej, łagodniej).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{C62D8343-68FB-4164-8F2F-FF658822E54F}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll File not found
O4 - HKCU..\Run: [TSWorkspace] C:\Users\Anita\AppData\Local\Microsoft\Windows\3750\TSWorkspace.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Anita\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
C:\Users\Anita\AppData\Local\Microsoft\Windows\3750
C:\Users\Anita\AppData\Roaming\hellomoto
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\Msconfig\startupreg\ApnUpdater]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar. Otwórz Google Chrome i w Rozszerzeniach odmontuj AutocompletePro.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[19david90]

Wiem, że późno odpisuje ale duży nawał pracy mam.

Wykonałem podany skrypt ale po uruchomieniu komputera (po ładowaniu się systemu) pojawia się czarny ekran i komunikat:

"Visual C++ Runtime Library

Runtime Error!

Program: C:\Windows\system32\nvvsvc.exe

This application has requested the ....."

Przy próbie załączenia komputera w trybie awaryjnym mam czarny ekran ale już bez tego komunikatu.

[picasso]

Nazwa procesu i objawy sugerują problem z oprogramowaniem nVidia. Natomiast błąd jako taki może sugerować z kolei ... wirusa Sality. Rozumiem, że system jest niedostępny. Stwórz log z poziomu środowiska zewnętrznego: KLIK.

 

 

 

.

[19david90]

Oto wykonany log.

OTL.Txt

[picasso]

System Vista: bardziej zgranym z systemem narzędziem był FRST. Czy robiłeś tu jakieś hmmm "podmiany" plików? Ten plik z komunikatu jest wprost na dysku C (kompletnie błędna lokalizacja):

 

[2012/10/03 11:57:35 | 000,615,528 | ---- | C] (NVIDIA Corporation) -- C:\nvvsvc.exe

 

A z logów nic nie wynika. Proponuję cofnąć system za pomocą Przywracania systemu do momentu sprzed wystąpienia usterki. Przywracanie systemu można uruchomić z poziomu WinRE: KLIK.

 

 

 

.

[19david90]

Ten plik to sam go przeniosłem żeby jak coś to mieć oryginalny bo myślałem, że jest mozliwość ściągnięcia takiego i podmiemienia.

Oryginalny znajduje się w lokalizacji jak w komunikacie.

Niestety nie mogę zrobić przywracania systemu, ponieważ nie mam żadnych punktów przywracania i tu jest problem.

Wyczytałem, że problem ten można wyeliminować czyszcząc rejestr ale niestety mam wrażenie, że z "zewnętrzenego systemu" czyli np płyta z win, mini xp itp. program (regcleaner) nie widzi rejestrów prawidłowego systemu:/

 

W załączniku log z FRST.

FRST.txt

[picasso]

Log z FRST nie wnosi nic do sprawy.

 

 

Ten plik to sam go przeniosłem żeby jak coś to mieć oryginalny bo myślałem, że jest mozliwość ściągnięcia takiego i podmiemienia.

Oryginalny znajduje się w lokalizacji jak w komunikacie.

 

Tu nie można brać na chybił trafił pliku z sieci. By podmienić plik, należałoby wiedzieć jaka wersja sterowników nVidia jest aktualnie zainstalowana i dokładnie taką wyekstraktować z korespondującej paczki nVidia. I nie wygląda na to, by problem był tylko w tym pliku, bo:

 

 

Przy próbie załączenia komputera w trybie awaryjnym mam czarny ekran ale już bez tego komunikatu.

 

W Trybie awaryjnym usługa Nvidia nvvsvc.exe nie jest ładowana (dlatego nie ma tego błędu). Skoro masz czarny ekran w Trybie awaryjnym, to raczej sugeruje ogólny problem ze sterownikami nVidia. Może to być także problem sprzętowy.

 

 

Wyczytałem, że problem ten można wyeliminować czyszcząc rejestr ale niestety mam wrażenie, że z "zewnętrzenego systemu" czyli np płyta z win, mini xp itp. program (regcleaner) nie widzi rejestrów prawidłowego systemu:/

 

Wątpliwe by "czyszczenie rejestru" tu coś pomogło, problem wygląda na innego typu. Poza tym, z poziomu środowiska zewnętrznego nie wyczyścisz rejestru w sposób jaki sugerujesz (automatem).

 

 

Niestety nie mogę zrobić przywracania systemu, ponieważ nie mam żadnych punktów przywracania i tu jest problem.

 

No cóż, to ja tu w tym momencie widzę reinstalację Windows.

 

 

 

.

[19david90]

Zrobiłem reinstalacje. Bardzo dziękuję za profesionalną pomoc.

Temat można zamknąć.

Pozdrawiam