Vista zablokowana haracz 300zł

[tomasz17]

Jak w temacie. Podczas standardowych oglądań stron www wyskoczył mi znany już wam wszystkim komunikat o zablokowaniu. teraz cena spadła do 300zł. Proszę o szybką poradę, z góry Wam dziękuję

 

jeszcze logi z otl,extras Picasso RATUJ !!!

log_fixcombo.txt

OTL.Txt

Extras.Txt

[picasso]

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam.

 

Na temat używania ComboFix: KLIK. Jego uruchomienie nie było potrzebne, a przyniosło też niepożądane rezultaty. ComboFix posunął się za daleko, skasował prawidłowe komponenty Fakturki i deinstalator Szkoła podstawowa klasa 4:

 

 

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\fakturka

c:\fakturka\faktura.frf

c:\fakturka\fakturanetto.frf

c:\fakturka\Fakturka.exe

c:\fakturka\Fakturka.ini

c:\fakturka\KONTRAH.CDX

c:\fakturka\KONTRAH.DBF

c:\fakturka\koperta_c5.frf

c:\fakturka\nota.frf

c:\fakturka\PLIKI.DBF

c:\fakturka\POZYCJEFAK.DBF

c:\fakturka\PRZELEW.FRF

c:\fakturka\przelew_calosc.frf

c:\fakturka\rachunek.frf

c:\fakturka\REJESTR.CDX

c:\fakturka\REJESTR.DBF

c:\fakturka\SDE50.DLL

c:\fakturka\SDECDX50.dll

c:\fakturka\TOWARY.CDX

c:\fakturka\TOWARY.DBF

c:\fakturka\unins000.dat

c:\fakturka\unins000.exe

c:\fakturka\wplata.frf

c:\fakturka\wplatabankowa.frf

c:\fakturka\wplatabankowa_calosc.frf

c:\fakturka\wydruki.txt

c:\fakturka\Wydruki\02-09-2010_BUK_Faktura_52_08_2010.frp

c:\fakturka\Wydruki\02-09-2010_MARYSIA_Faktura_51_08_2010.frp

c:\fakturka\Wydruki\02-09-2010_NOWALIJKA_Faktura_50_08_3020.frp

c:\fakturka\Wydruki\02-12-2010_MALE_SPA_Faktura_68_11_2010.frp

c:\fakturka\Wydruki\02-12-2010_ŁUCZAK_Faktura_67_11_2010.frp

c:\fakturka\Wydruki\03-01-2011_FHU_Faktura_72_12_2010.frp

c:\fakturka\Wydruki\03-01-2011_HANDEL_Faktura_71_12_2010.frp

c:\fakturka\Wydruki\03-01-2011_NOWALIJKA_Faktura_75_12_2010.frp

c:\fakturka\Wydruki\03-01-2011_RYCH BUD_Faktura_74_12_2010.frp

c:\fakturka\Wydruki\03-01-2011_ŁUCZAK_Faktura_73_12_2010.frp

c:\fakturka\Wydruki\03-02-2011_CAŁEW_Faktura_01_01_2011.frp

c:\fakturka\Wydruki\03-08-2010_MALE_SPA_Faktura_44_07_2010.frp

c:\fakturka\Wydruki\03-08-2010_NOWALIJKA_Faktura_43_07_2010.frp

c:\fakturka\Wydruki\03-08-2010_RAFIX_Faktura_46_07_2010.frp

c:\fakturka\Wydruki\03-08-2010_RÓLSKA_Faktura_47_07_2010.frp

c:\fakturka\Wydruki\03-08-2010_TOMAX_Faktura_42_07_2010.frp

c:\fakturka\Wydruki\03-08-2010_ŁUCZAK_Faktura_45_07_2010.frp

c:\fakturka\Wydruki\03-11-2010_NOWALIJKA_Faktura_62_10_2010.frp

c:\fakturka\Wydruki\03-11-2010_ZIELINSKI_Faktura_61_10_2010.frp

c:\fakturka\Wydruki\04-02-2011_HANDEL_Faktura_05_01_2011.frp

c:\fakturka\Wydruki\04-02-2011_KADAR_Faktura_02_01_2011.frp

c:\fakturka\Wydruki\04-02-2011_MALE_SPA_Faktura_04_01_2011.frp

c:\fakturka\Wydruki\04-02-2011_NOWALIJKA_Faktura_03_01_2011.frp

c:\fakturka\Wydruki\04-08-2010_MALE_SPA_Faktura_44_07_2010.frp

c:\fakturka\Wydruki\04-08-2010_MARYSIA_Faktura_48_07_2010.frp

c:\fakturka\Wydruki\04-08-2010_RÓLSKA_Faktura_47_07_2010.frp

c:\fakturka\Wydruki\04-08-2010_RYCH BUD_Faktura_49_08_2010.frp

c:\fakturka\Wydruki\04-08-2010_TOMAX_Faktura_42_07_2010.frp

c:\fakturka\Wydruki\04-09-2010_BUK_Faktura_52_08_2010.frp

c:\fakturka\Wydruki\05-02-2011_CAŁEW_Faktura_01_01_2011.frp

c:\fakturka\Wydruki\05-02-2011_MALE_SPA_Faktura_04_01_2011.frp

c:\fakturka\Wydruki\05-02-2011_NOWALIJKA_Faktura_03_01_2011.frp

c:\fakturka\Wydruki\05-11-2010_ZIELINSKI_Faktura_61_10_2010.frp

c:\fakturka\Wydruki\08-12-2010_NOWALIJKA_Faktura_69_11_2010.frp

c:\fakturka\Wydruki\09-08-2010_MBP_Faktura_49_08_2010.frp

c:\fakturka\Wydruki\12-11-2010_KANCELARIA_Faktura_63_11_2010.frp

c:\fakturka\Wydruki\12-11-2010_MBP_Faktura_64_11_2010.frp

c:\fakturka\Wydruki\13-10-2010_KANCELARIA_Faktura_59_10_2010.frp

c:\fakturka\Wydruki\15-11-2010_TUMASZ_Faktura_65_11_2010.frp

c:\fakturka\Wydruki\22-10-2010_MBP_Faktura_60_10_2010.frp

c:\fakturka\Wydruki\23-05-2010_1_Faktura_.frp

c:\fakturka\Wydruki\26-11-2010_FUH NOWAK_Faktura_66_11_2010.frp

c:\fakturka\Wydruki\30-12-2010_MARYSIA_Faktura_70_12_2010.frp

c:\fakturka\Wydruki\ostatni.frf

c:\programdata\Microsoft\Windows\Start Menu\Programs\Fakturka

c:\programdata\Microsoft\Windows\Start Menu\Programs\Fakturka\Fakturka.lnk

c:\windows\IsUn0415.exe

 

- - - - USUNIĘTO PUSTE WPISY - - - -

.

AddRemove-Fakturka_is1 - c:\fakturka\unins000.exe

AddRemove-Szkoła podstawowa klasa 4 - Wczoraj i dziś - c:\windows\IsUn0415.exe

 

 

Te programy należy przeinstalować... Co do właściwej infekcji, to ComboFix nie usunął wszystkiego, został skrót w starcie. Ponadto system zabrudzony adware.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\ASIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Program Files\mozilla firefox\searchplugins\Suche.src
 
:OTL
IE - HKLM\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O4 - HKCU..\Run: [Mobile Partner] C:\Program Files\PLAY Web partner\PLAY Web partner File not found
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\ASIA\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj 50 FREE MP3s +1 Free Audiobook!, Pasek narzędzi AOL 5.0, x-plugin-0.

 

3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[tomasz17]

Picasso jesteś wielki. Z chęcią bym postawił symbiliczne piwko. Jest sens zakupu Kaspersky Internet security 2013 ? Zamieszczam logi po operacji.

AdwCleaner2.txt

OTL2.Txt

[picasso]

Apropos "wielki" = jestem kobietą. A zadania pomyślnie wykonane, aczkolwiek nie odinstalowałeś tego:

 

2. Przez Panel sterowania odinstaluj Pasek narzędzi AOL 5.0, x-plugin-0.

 

1. Powtarzaj zadanie z w/w deinstalacją.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[tomasz17]

Sorki za MALE ten 50 mp3 wtedy odinstalowałem. Jeszcze raz zapytam o tego Kasperskiego lub inny antywir jaki byś mi poleciła ? wkleiłem kolejny log

nowylog.txt

[picasso]

Podałeś log z usuwania, a prosiłam o nowy skan:

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

A co do:

 

Jest sens zakupu Kaspersky Internet security 2013?

 

Dlaczego ma nie być sensu? Z drugiej strony: również dobrze można się posiłkować darmowymi rozwiązaniami i ten Twój Avast nie jest zły. Ja bym nie wymieniała programu.

 

 

 

.

[tomasz17]

Ok, przesyłam log.

OTLnaczysto.Txt

[picasso]

Ja nadal widzę zainstalowane: Pasek narzędzi AOL 5.0, x-plugin-0. Czy jest jakiś problem z deinstalacją tego?

[tomasz17]

Szczerze to na kompie go nie widzę. Poprzez usuwanie programów tam go nie ma, jak go wyszukuje to też nie ma. Gdzie on siedzi ?

[picasso]

Danych nie brałam z powietrza, ja to widzę w rejestrze na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"AOL Toolbar" = Pasek narzędzi AOL 5.0
"x-plugin-0" = x-plugin-0

 

Czyli powinno to być widoczne w Panelu sterowania w aplecie usuwania programów. Log też nie pokazuje żadnych naruszeń plikowych i uruchamianie plików tych aplikacji ze ścieżek:

 

C:\Program Files\AOL\Pasek narzędzi AOL 5.0

C:\Users\ASIA\AppData\Roaming\xplugin

 

Nie wywalaj tych katalogów ręcznie, bo są i wpisy w rejestrze. Na razie chcę dojść do tego czy na pewno nie widzisz tego na liście odinstalowywania.

 

 

 

.

[tomasz17]

AOL odinstalowany bezpośrednio z katalogi w program files. Nie było go widać w programach.

[picasso]

Podaj skan dodatkowy. Uruchom SystemLook i do skanu wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AOL Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\x-plugin-0

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

[tomasz17]

Kolejny program, którego nie znałem heh. przedstawiam raport

SystemLook.txt

[picasso]

Wejście AOL już rzeczywiście odinstalowane. Teraz spróbuj pozbyć się tego x-plugin. Wg rejestru deinstalator to plik C:\Users\ASIA\AppData\Roaming\xplugin\uninstall.exe. Uruchom go, a jeśli deinstalacja poprawnie przejdzie upewnij się, że zniknęły z dysku:

 

C:\Users\ASIA\AppData\Roaming\xplugin

C:\Program Files\mozilla firefox\plugins\npmieze.dll

 

 

 

.

[tomasz17]

Witam. Nie ma katalogu \AppData\Roaming\xplugin\uninstall.exe w Asi. w administratorze jest appdata ale nie ma w nim roaming tylko pusty local.

Nie mam C:\Users\ASIA\AppData\Roaming\xplugin, za to jest C:\Program Files\mozilla firefox\plugins\npmieze.dll

[picasso]

Katalog Roaming na pewno jest, przecież w raporcie widać te ścieżki. Może nie masz włączonej widzialności wszystkich ukrytych (w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego). Klawisz z flagą Windows + R, wpisz komendę %appdata% i ENTER. To powinno otworzyć katalog Roaming.

 

 

 

.

 

[tomasz17]

Tak jak napisałaś miałem ukryty. Odinstalowałem. Jak wywalić plik npmieze.dll ? Po prostu go usunąć ręcznie ? Mam jeszcze jedno pytanko z innej beczki. Denerwuje mnie w Viście, że każdą wykonywaną operację muszę ZEZWALAĆ. Na pewno można w jakimś rejestrze wywalić to. Najczęściej komunikat wyskakuję przy instalowaniu bądź deinstalowaniu programu.

[picasso]

Jak wywalić plik npmieze.dll ? Po prostu go usunąć ręcznie ?

 

Ręcznie.

 

 

Denerwuje mnie w Viście, że każdą wykonywaną operację muszę ZEZWALAĆ. Na pewno można w jakimś rejestrze wywalić to. Najczęściej komunikat wyskakuję przy instalowaniu bądź deinstalowaniu programu.

 

Masz włączony UAC. Narzędzia związane z UAC: KLIK.

 

 

 

.

[tomasz17]

Pytanie z innej beczki. Od kilku dni komputer strasznie spowolnił, razem z mobilnym internet w play. dzwoniłem na infolinie i mówią, że wszystko u nich jest OK i że nie mam żadnej blokady. Od czego mam zacząć aby przyspieszyć vistę ?

Po tamtym czyszczeniu rejestru itp. wyskakuje mi często komunikat CLSched Module - zatrzmano działanie i zamknięto

[picasso]

Czyszczenie po infekcji nie zostało ukończone, w rozumieniu nie zostały zadane kroki końcowe.

 

 

Pytanie z innej beczki. Od kilku dni komputer strasznie spowolnił, razem z mobilnym internet w play. dzwoniłem na infolinie i mówią, że wszystko u nich jest OK i że nie mam żadnej blokady. Od czego mam zacząć aby przyspieszyć vistę ?

 

Na podstawie takich danych nic się nie da powiedzieć. Dodaj mi nowy zestaw logów OTL + GMER, sprawdzę czy są jakieś nowe niepożądane zmiany. Jeśli nic tam nie będzie, załóż nowy temat w dziale Sieci stosując się do zasad tamtego działu.

 

 

Po tamtym czyszczeniu rejestru itp. wyskakuje mi często komunikat CLSched Module - zatrzmano działanie i zamknięto

 

Bez związku z poprzednim. Błąd związany z aplikacją Cyberlink (KLIK).

 

 

 

.

Edytowane 23 Lutego 2013 przez picasso
23.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso