Moj komputer został zablokowany

[karol1996]

Wczoraj właczyłem komputer zobaczyłem pulpit i za chwile cały pulpit zajeła informacja "Komputer zostal zablokowany z powodu naruszenia prawa" niżej było napisane jakie prawo zlamalem i żeby odblokowac musze kupić jakis kod ukash i wpisać. Co zrobić

OTL.Txt

Extras.Txt

[picasso]

Uruchamiałeś ComboFix. Na przyszłość: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [xmllite] C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\3202\xmllite.exe (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199&SSPV=IEOB04"
IE - HKU\S-1-5-21-1073788982-3575690517-3836054531-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113676&tt=010812_newm_3112_1&babsrc=SP_ss&mntrId=dcc47c0f0000000000001c659d5edc74"
IE - HKU\S-1-5-21-1073788982-3575690517-3836054531-1000\..\SearchScopes\{AE472260-BEE3-4C88-9003-B0D6D4A2B6BE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=35D128A2-ECD2-4F70-8434-B4162DB4D384&apn_sauid=024DD998-85EE-4A7B-B2E2-95169BC981C4"
IE - HKU\S-1-5-21-1073788982-3575690517-3836054531-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199&SSPV=IEOB04"
O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll File not found
O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll File not found
O3 - HKU\S-1-5-21-1073788982-3575690517-3836054531-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc -- (McMPFSvc)
 
:Files
C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\3202
C:\Users\Zbigniew\AppData\Roaming\hellomoto
C:\Users\Zbigniew\AppData\Roaming\mozilla\firefox\profiles\a6fhgh0d.default\searchplugins\conduit.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolene działania prowadzisz już w Trybie normalnym Windows:

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, BabylonObjectInstaller, Free Lunch Design TB Toolbar, McAfee Security Scan Plus, Yontoo 1.10.02.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj Babylon Toolbar, z listy stron startowych wymaż domredi.com oraz wyczyść Historię.

- Otwórz Firefox i w Dodatkach odinstaluj Free Lunch Design TB, Yontoo.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[karol1996]

Jesli nie mam Adwcleaner to mam go pobrać??

W Google Chrome w Rozszerzeniach nie ma Babylon Toolbar a w liście stron startowych nie znalazlem domredi.com .

W firefxie w dodatkach byl tylko Free Lunch Design TB nie bylo Yontoo

[picasso]

Oczywiście, że masz pobrać, w jaki inny sposób chciałeś to zrobić. Podany link do tematu, gdzie jest opis narzędzia i skierowania na stronę domową (skąd się pobiera).

[karol1996]

Bardzo dziekuje za pomoc

Oto logi

OTL.Txt

AdwCleanerS1.txt

[picasso]

Prawie wszystko zrobione, ale wymagane poprawki na szczątki adware.

 

1. W Google Chrome nadal widać to:

 

========== Chrome  ==========
 
CHR - homepage: "http://domredi.com/1/"
CHR - default_search_provider: Search the web (Babylon) (Enabled)

 

Powtórka w opcjach przeglądarki: w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. Następnie: z listy stron startowych usuń domredi.com, ustaw "Po uruchomieniu" na "Otwórz stronę nowej karty".

 

2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledAddons: {a5ae8924-4036-420f-b7f6-a47e4b8f692e}:10.10.27.6
 
:Files
sc delete McMPFSvc /C

 

Klik w Wykonaj skrypt. Tym razem bez restartu pójdzie.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{21FA44EF-376D-4D53-9B0F-8A89D3229068}"=-
"{A5AE8924-4036-420F-B7F6-A47E4B8F692E}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a5ae8924-4036-420f-b7f6-a47e4b8f692e}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AE472260-BEE3-4C88-9003-B0D6D4A2B6BE}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

4. Zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne, klik w Skanuj.

 

 

 

.

[karol1996]

prosze

OTL.Txt

[picasso]

Nie wygląda na to, że zaimportowałeś plik FIX.REG w prawidłowy sposób. Opisz jak to robiłeś i co Ci się pokazało? Zadanie musi być wykonane od początku.

 

 

.

[karol1996]

Otworzyłem notatnik wkleiłem nacisnolem plik nastepnie zapisz jako napisałem FIX.REG typ zmieniłem na wszystkie pliki i zapisałem

[picasso]

No tak, ale czy Scaliłeś plik? Prawoklik na plik, z menu kontekstowego opcja Scal, użycie tego zgłosi komunikat o imporcie do rejestru, który należy zatwierdzić. Jeżeli nie widzisz opcji Scal lub nie zgłasza się po jej użyciu komunikat z importem, coś jest nieprawidłowo przeprowadzone lub jest dodatkowa usterka.

 

 

.

[karol1996]

to zrobic to jeszcze raz??

[picasso]

Jeżeli już zapisałeś plik FIX.REG, to masz kliknąć na niego prawym i z menu wybrać opcję Scal, a to zgłosi komunikat importu do rejestru, który masz potwierdzić.

[karol1996]

juz zrobione

[picasso]

Możemy kończyć:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\Windows\erdnt, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Twój log pokazuje wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"avast" = avast! Free Antivirus
"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)
"Opera 11.61.1250" = Opera 11.61
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: pełna aktualizacja Windows (instalacja SP1 + IE9 i łat wydanych po), aktualizacja Office (instalacja SP1), aktualizacja Avast, aktualizacja przeglądarek, a stare Adobe / Java / Silverlight odinstaluj przed nałożeniem najnowszej wersji.

 

 

PS. Widzę też zainstalowane Gadu-Gadu 10. Program ciężki i zasobożerny. Sugeruję obejrzenie alternatywnych aplikacji z osługą Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK.

 

 

.