Departament policji

[dyzjos]

Witam. Moim problemem jest blokowanie komputera po niecałej minucie jego użytkowania. Komputer się blokuje i wyskakuje obraz bez opcji usunięcia jak w załączniku 1. W załączniku 2 i 3 podaje logi z OTL.

Extras.Txt

OTL.Txt

[picasso]

Przemilczane dużo. Było tu już nieudolne usuwanie skryptem OTL, skrót infekcji nie usunięty, tylko plik docelowy i aktualnie infekcja leci z kwarantanny OTL

 

O4 - Startup: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\_OTL\MovedFiles\11092012_205302\C_ProgramData\lsass.exe (Microsoft Corporation)

 

Używałeś też AdwCleaner, nie zaprezentowałeś raportu z niego. I tak jest co poprawiać, nadal adware widoczne. Będę też usuwać szczątki Firefox (wygląda na odinstalowany).

 

1. Przez Panel sterowania odinstaluj śmiecia Protected Search 1.1.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\Users\Jacek\AppData\Roaming\YourFileDownloader
C:\Program Files (x86)\Splashtop
C:\Program Files (x86)\Mozilla Firefox
C:\Users\Jacek\AppData\Roaming\Mozilla
netsh advfirewall reset /C
 
:Services
WCUService_STC_IE
 
:OTL
O4 - HKU\S-1-5-21-1470513551-69500346-3861251064-1001..\Run: [ASRockIES]  File not found
O4 - HKU\S-1-5-21-1470513551-69500346-3861251064-1001..\Run: [ASRockOCTuner]  File not found
O4 - HKU\S-1-5-21-1470513551-69500346-3861251064-1001..\Run: [PlayNC Launcher]  File not found
O4 - HKU\S-1-5-21-1470513551-69500346-3861251064-1001..\Run: [zASRockInstantBoot]  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{124967DA-B802-4ed7-A8CF-36543E0AE271}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[dyzjos]

Dziękuję za odpowiedź i podsyłam nowy log. Chciałem jeszcze dodać że po włączeniu komputera dziś nie było żadnej blokady, ale dla wszelkiego dobra postąpiłem zgodnie z informacjami.

OTL.Txt

[picasso]

Jak mówiłam: robiłeś wstępnie jakieś usuwanie, dlatego wizualnie blokady już nie było. Zadania pomyślnie wykonane. Kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj wtyczki Adobe Flash i Java, zastąp najnowszymi wersjami: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

 

 

.

[dyzjos]

Wszystko ukończone. Dziękuję bardzo za pomoc w pozbyciu się szkodnika

 

Pozdrawiam