Twój komputer został zablokowany - Departament policji cyberprzestępczość

[pacieja]

Dzisiaj z rana znowu pojawił się ten wirus. Proszę o jak najszybszą pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\0tbpw.pad
C:\ProgramData\nircmd.exe
C:\ProgramData\972a2c8037a25343a49d50d3c046a983_c
C:\Users\Iwona\uidsave.dat
C:\Users\Iwona\AppData\Roaming\9C1D09
C:\Users\Iwona\AppData\Roaming\4d211137.dat
C:\Users\Iwona\AppData\Roaming\DownloaderGold
C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler V3.exe
C:\Users\Iwona\AppData\Roaming\mozilla\firefox\profiles\ywc1g9mx.default-1347992596969\extensions\onlinehdtv@onlinehd.tv.xpi
C:\Users\Iwona\AppData\Local\ClickPotatoLiteSA
C:\Users\Iwona\AppData\Local\Temp*.html
C:\Program Files (x86)\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll
C:\Windows\tasks\OptimizerPro1UpdaterTask{F75B51FA-61B1-4D21-84CC-5874ADF1533E}.job
netsh advfirewall reset /C
 
:OTL
IE - HKCU\..\URLSearchHook: {fcbf663e-8530-46f8-a880-ac5abe9d2b23} - No CLSID value found
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Users\Iwona\AppData\Local\ClickPotatoLiteSA\bin\12.0.15.0\firefox\extensions
O2:64bit: - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0864264c9a64} - C:\Users\Iwona\AppData\Roaming\DownloaderGold\ieplug.dll ()
O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0800200c9a66} - C:\Users\Iwona\AppData\Roaming\DownloaderGold\ieplug.dll ()
O2 - BHO: (DownloadnSave Class) - {9438D5FA-D5AF-4DD1-D7AA-F1959AA7DC05} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {FCBF663E-8530-46F8-A880-AC5ABE9D2B23} - No CLSID value found.
O4 - HKCU..\Run: [Optimizer Pro] C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe (PC Utilities Pro)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Piriform = C:\Users\Iwona\AppData\Roaming\9C1D09\9C1D09.exe (NVisionGroup)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z usuwania. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware OnlineHDTV, Optimizer Pro v3.0, OptimizerPro1 Updater, PCSpeedUp Application, Web Optimizer, YourFileDownloader, wątpliwy Dll-Files.com Fixer oraz zbędny Akamai NetSession Interface.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz z usuwania OTL z punktu 1.

 

 

 

.

[pacieja]

Wszystko zrobione, ale nie mogłam usunąć YourFileDownloader, ponieważ przy odinstalowaniu włącza się strona z pobraniem jakiejś gry.

OTL.Txt

AdwCleanerS4.txt

11292012_185452.txt

[picasso]

Wyraźnie kierowałam do przyklejonego tematu z opisem AdwCleaner, gdzie są linki do pobierania najnowszej wersji oraz ostrzeżenie, by nie pobierać m.in. z Instalek. Użyłaś starą wersję:

 

# AdwCleaner v2.005 - Logfile created 11/29/2012 at 19:12:36

# Running from : C:\Users\Iwona\Downloads\AdwCleaner_www.INSTALKI.pl.exe

 

Najnowsza to 2.009 i ma to znaczenie (nowe skany i poprawki). I masz szczęście, że u Ciebie w systemie identyfikator domyślnej wyszukiwarki Bing w Internet Explorer jest niestandardowy, bo AdwCleaner 2.005 uszkodziłby tę wyszukiwarkę (ma błąd operacyjny).

 

 

1. Pobierz najnowszy AdwCleaner, uruchom i skorzystaj z opcji Delete. Przedstaw log wynikowy.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YourFileDownloader]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{66C1D1A1-26B9-486E-AA01-DCFBEC69AD79}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{13C899F5-792A-4606-AD18-03302521D85D}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{13C899F5-792A-4606-AD18-03302521D85D}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Google Chrome nadal adware:

 

CHR - plugin: ClickPotatoLite Firefox Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll
CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMyWebS.dll
CHR - Extension: OneClickDownload = C:\Users\Iwona\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.1_0\

 

Wejdź do ustawień i w Rozszerzeniach odinstaluj OneClickDownload. Wycięcie wtyczek jest już niestety trudniejsze (wymagana edycja kodu pliku Preferences) i to wykonam za Ciebie. Przekopiuj na Pulpit plik:

 

C:\Users\Iwona\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję, odeślę do podmiany i wtedy dopiero poproszę o nowy log OTL potwierdzający zmiany.

 

 

.

[pacieja]

Teraz zrobiłam jak należy.

Link do Preferences:

http://www48.zippysh...83755/file.html

 

W załączniku log z AdwCleanera

AdwCleanerS5.txt

[picasso]

Nowszy AdwCleaner wykonał dodatkowe sprzątanie. A co do pliku Preferences Google Chrome ... hmmm ... ten plik nie zgadza się z tym co mówił OTL, nie ma w ogóle wpisów punktowanych wtyczek. Za to wyczyściłam pozostałe śmieci. Kolejne operacje:

 

1. Przesyłam zedytowany plik zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być uruchomione podczas akcji!), wymień pliki Preferences. Nastyępnie uruchom Google Chrome, by sprawdzić czy nie ma żadnego błędu przy starcie.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[pacieja]

Zrobione! Żadnego błędu nie było.

OTL.Txt

[picasso]

Coś mi tu właśnie nie pasowało w tym Twoim pliku Preferences, tam nie było właściwie listy wtyczek... Teraz konfiguracja Google Chrome wygląda na doszczętnie ogołoconą, żadne wtyczki nie są listowane. Nie wiem co nastąpiło między moim postem #4 a #6, ale widzę ogromną i niekorzystną zmianę odczytu konfiguracji Google. Proponuję nie ciągnąć tego dłużej tylko zrobić czystą reinstalację Google Chrome, tzn: wyeksportuj sobie zakładki, odinstaluj Google Chrome (przy deinstalacji odpowiedz twierdząco na pytanie o usuwanie danych użytkownika), następnie zainstaluj Google Chrome na świeżo.

 

 

 

.

[pacieja]

Wykonane zgodnie z zaleceniami. Przesłać teraz nowy log OTL?

[picasso]

Na wszelki wypadek tak, na ustawieniach: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

[pacieja]

Coraz szybciej się skanuje.

OTL.Txt

[picasso]

To jest log po deinstalacji Google Chrome, ale jeszcze przed nową instalacją? Teraz jeszcze bardziej goło:

 

========== Chrome  ==========
 
CHR - homepage: 
CHR - homepage: 
CHR - Extension: No name found = C:\Users\Iwona\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
CHR - Extension: No name found = C:\Users\Iwona\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfmopbbadnfoelckkcmjjeaaegjpjjbk\1.4_0\
CHR - Extension: No name found = C:\Users\Iwona\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco\1.1_0\

 

Jeśli jeszcze nie zainstalowałaś nowego Google Chrome, to przez SHIFT+DEL skasuj folder:

 

C:\Users\Iwona\AppData\Local\Google\Chrome

 

Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz (jeśli będzie):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome

 

 

.

[pacieja]

To był log po instalacji Google Chrome, a nie przed.

[picasso]

Jaki typ instalacji wybrałaś: dla wszystkich użytkowników komputera czy tylko dla bieżącego? Może tym razem Google Chrome zostało zainstalowane w C:\Program Files (x86)\Google\Chrome a nie w C:\Users\Iwona\AppData\Local\Google\Chrome (wtedy ten katalog byłby odpadkiem). Jeszcze raz: odinstaluj Google Chrome, zrób ręcznie usuwanie folderu i klucza przeglądarki jak zadałam, następnie zainstaluj ponownie Google. Zrób log z OTL i mam nadzieję, że będzie to ostatni.

 

 

.

[pacieja]

Zobaczmy czy to ostatni raz.

OTL.Txt

[picasso]

Sytuacja się o tyle zmieniła, że teraz praktycznie Google Chrome nie jest wykrywane, widać takie kuriozum:

 

========== Chrome  ==========
 
CHR - homepage: 
CHR - homepage: 

 

To zadam pytanie, czy Google Chrome zostało tym razem zainstalowane w folderze C:\Program Files (x86)\Google\Chrome?

 

.

[pacieja]

Tak zostało.

[picasso]

I to pewnie powód odczytu w OTL. W związku z tym teraz już przechodzimy do finalizacji:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu są zainstalowane:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"FileZilla Client" = FileZilla Client 3.3.5.1
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
"Opera 12.01.1532" = Opera 12.01
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: odinstaluj wszystkie wyliczone pozycje Adobe i Silverlight, zastąp najnowszymi wersjami, zaktualizuj Firefox / Opera / Filezilla, zaktualizuj Windows (instalacja SP1).

 

 

PS. Gadu-Gadu 10 widzę zainstalowane. Polecam lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[pacieja]

Wszystko wykonane. Dziękuję za pomoc