Komputer zablokowany przez Policję

[Szksypcze]

Witam!!!

 

Złapałem dwa dni temu na laptopa infekcję, powodującą zablokowanie komputera i wyświetlenie na ekranie planszy z informacją o konieczności wpłaty 200 złotych, jeślibym chciał odblokowac komputer. Bez sieci komputer działa normalnie. W przypadku włączenia routera wyskakuje blokada z planszą. Komputer skanowałem jedynie avastem ale nic nie znalazł. GMER po skanie także nic nie znalazł. Nie podejmowałem żadnych innych działań. W załączeniu raporty z OTL i GMER. Uprzejmie proszę o pomoc.

OTL.Txt

Extras.Txt

gmerscan.txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VMC302.sys -- (VMC302)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
 
:Files
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\VOBIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Szksypcze]

Skrypt wykonany. Po uruchomieniu dostałem kilka kominukatów o błędach IE. W załączeniu raport z OTL.

 

Edit: Nie chcę żeby to zabrzmiało jak wymądrzanie się, ale popatrzyłem sobie na raport z OTL i znalałem chyba z 7 plików, które są wirusami, trojanami i innymi takimi

 

po wykonaniu skryptu komputer już się nie blokuje i nie widzę innych problemów. Niepokoi mnie natomiast lista tych wirusów w raporcie OTL.

OTL.Txt

[Szksypcze]

Chciałem tylko zapytać czy mam czekać na dalsze instrukcje, bo jesli to już koniec to chciałbym uruchomić jaikś program do usunięcia tych wirusów. Z którego mógłbym skorzystać??

[picasso]

Szksypczeę zaczynam się lekko irytować. Już tu łączyłam posty i widzę, że nie zostało to zinterpretowane prawidłowo. Zasady działu są konkretne na temat tworzenia posta pod postem oraz oczekiwania na odpowiedź: KLIK. Proszę cierpliwie czekać na pomagającego który prowadzi temat. Nikt tu nie siedzi 24/7, mamy też własne życie.

 

 

Nie chcę żeby to zabrzmiało jak wymądrzanie się, ale popatrzyłem sobie na raport z OTL i znalałem chyba z 7 plików, które są wirusami, trojanami i innymi takimi

 

Nawet nie podałeś o czym mówisz. Jeśli zmierzasz do tego:

 

 

O33 - MountPoints2\{21eca294-bd7c-11de-8643-001377f60aaa}\Shell\AutoRun\command - "" = mje12tni.exe

O33 - MountPoints2\{21eca294-bd7c-11de-8643-001377f60aaa}\Shell\open\Command - "" = mje12tni.exe

O33 - MountPoints2\{21eca299-bd7c-11de-8643-001377f60aaa}\Shell - "" = AutoRun

O33 - MountPoints2\{21eca299-bd7c-11de-8643-001377f60aaa}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

O33 - MountPoints2\{310edf84-d378-11de-8147-001377f60aaa}\Shell\AutoRun\command - "" = F:\se12ydam.exe

O33 - MountPoints2\{310edf84-d378-11de-8147-001377f60aaa}\Shell\open\Command - "" = F:\se12ydam.exe

O33 - MountPoints2\{4159a5c1-7d4f-11de-b2b9-001377f60aaa}\Shell\AutoRun\command - "" = u0riu2.exe

O33 - MountPoints2\{4159a5c1-7d4f-11de-b2b9-001377f60aaa}\Shell\open\Command - "" = u0riu2.exe

O33 - MountPoints2\{5447b025-ea46-11de-9e89-001377f60aaa}\Shell\AutoRun\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

O33 - MountPoints2\{5447b025-ea46-11de-9e89-001377f60aaa}\Shell\open\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

O33 - MountPoints2\{56563be4-faeb-11de-b435-001377f60aaa}\Shell\AutoRun\command - "" = F:\xmor.exe

O33 - MountPoints2\{56563be4-faeb-11de-b435-001377f60aaa}\Shell\open\Command - "" = F:\xmor.exe

O33 - MountPoints2\{68020857-bda3-11de-8532-001377f60aaa}\Shell\AutoRun\command - "" = F:\se12ydam.exe

O33 - MountPoints2\{68020857-bda3-11de-8532-001377f60aaa}\Shell\open\Command - "" = F:\se12ydam.exe

O33 - MountPoints2\{79bfc1f1-2104-11df-9b34-001377f60aaa}\Shell\AutoRun\command - "" = tgt.exe

O33 - MountPoints2\{79bfc1f1-2104-11df-9b34-001377f60aaa}\Shell\open\Command - "" = tgt.exe

O33 - MountPoints2\{7fa0f641-cd48-11de-9c71-001377f60aaa}\Shell\AutoRun\command - "" = F:\ -- File not found

O33 - MountPoints2\{7fa0f641-cd48-11de-9c71-001377f60aaa}\Shell\open\Command - "" = rundll32.exe .\desktop.dll,InstallM

O33 - MountPoints2\{9bec0547-7d41-11de-876d-001377f60aaa}\Shell - "" = AutoRun

O33 - MountPoints2\{9bec0547-7d41-11de-876d-001377f60aaa}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

O33 - MountPoints2\{b7859883-dabf-11de-8c02-001377f60aaa}\Shell\AutoRun\command - "" = F:\setupSNK.exe

O33 - MountPoints2\{c13ec055-1afc-11df-a73d-001377f60aaa}\Shell\AutoRun\command - "" = b00ijwpu.exe

O33 - MountPoints2\{c13ec055-1afc-11df-a73d-001377f60aaa}\Shell\open\Command - "" = b00ijwpu.exe

O33 - MountPoints2\{e4df668b-b8ca-11de-b9a0-001377f60aaa}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

O33 - MountPoints2\{e4df668b-b8ca-11de-b9a0-001377f60aaa}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

O33 - MountPoints2\{eb3c15e4-d93f-11de-bca2-001377f60aaa}\Shell\AutoRun\command - "" = F:\mbvd.exe

O33 - MountPoints2\{eb3c15e4-d93f-11de-bca2-001377f60aaa}\Shell\open\Command - "" = F:\mbvd.exe

O33 - MountPoints2\{ed2e7f83-dac7-11de-9973-001377f60aaa}\Shell - "" = Autorun

O33 - MountPoints2\{ed2e7f83-dac7-11de-9973-001377f60aaa}\Shell\AutoRun\command - "" = setup.exe

 

 

Te wpisy to nie są pliki na dysku (czy takie pliki są nie jest wiadome), to jest w rejestrze. Konkretnie to historyczne mapowanie podpinanych zainfekowanych urządzeń USB. Landuss prowadzi temat, więc się do tego ustosunkuje.

 

 

 

.

[Szksypcze]

Przepraszam i czekam w takim razie.

[Landuss]

Infekcję masz usuniętą. Możesz wykonywać kroki końcowe.

 

1. Wciśnij klawisz z flagą Windows + R wpisz regedit i z prawokliku myszki usuń ten klucz:

 

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij przywracanie systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish

"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Szksypcze]

Załatwione krok po kroku. Dziekuję za pomoc.

[Szksypcze]

Kilka dni temu zainfekował mi komputer wirus, który powoduje jego zablokowanie podczas podłączenia do sieci i wyświetlenie planszy informującej mnie o konieczności wykupienia kodu za 300 zł celem odblokowania komputera.

 

W załączeniu raporty z OTL oraz GMER.

 

Prosze o pomoc. Z góry dziekuję.

gmer1.txt

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\VOBIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Szksypcze]

Komputer odblokowany - dziękuję.

 

W załączeniu nowy raport OTL.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta. Kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Google Chrome" = Google Chrome 21.0.1180.89
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)

 

W podsumowaniu: wszystkie Adobe odinstaluj i zastąp najnowszymi wersjami, zaktualizuj przeglądarki i OpenOffice.org. A Norton Security Scan możesz odinstalować. To niepełnosprawny skaner.

 

 

.