Komputer został zablokowany z powodu naruszenia prawa polskiego

[Lennox]

Witam wszystkich serdecznie, temat raczej znany i dość powszechny. Wirus "marki" malware podszywający się pod organy ścigania ,straszący mnie fatalną polszczyzną i godłem szczecina na zablokowanym ekranie monitora. Prosi o wpłatę w wysokości 100 euro w zamian za kod ukash.

Załączam wymagane pliki i byłbym wdzięczny za pomoc.

Windows Vista 32 bit

Pozdrawiam

Extras.Txt

OTL.Txt

[picasso]

Co było robione w narzędziu FRST? Na dysku jest folder tego narzędzia.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Magda\AppData\Roaming\msconfig.dat
C:\Users\Magda\AppData\Roaming\msconfig.ini
C:\Users\Magda\AppData\Roaming\mozilla\firefox\profiles\jyq96rry.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
O3 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-1651713446-2375033879-1253782496-1000..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i działasz już w Trybie normalnym Windows:

 

2. Przez Panel sterowania odinstaluj adware Conduit Engine, MyAshampoo Toolbar. Otwórz Firefox i w Dodatkach odinstaluj MyAshampoo Community Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[Lennox]

Co było robione w narzędziu FRST? Na dysku jest folder tego narzędzia.

Jedynie skan z raportem. Nie grzebałem w inny sposób.

 

Sprzęt znowu żyje, dziękuje za pomoc

AdwCleanerS1.txt

OTL.Txt

[picasso]

Zrobione.

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, .

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje widziane aktualnie w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) -----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089

 

 

.