Komp. zablokowany, policja - wgsdgsdgdsgsd

[haggie]

Witam,

dziś przed południem zadzwoniła do mnie koleżanka z płaczem, że jej komputer zablokowała policja i musi zapłacić jeśli chce odzyskać dane...

Od razu zdało się to podejrzane - sprawdziłem na ile umiałem i znalazłem plik <wgsdgsdgdsgsd.dll> i oczywiście w autostarcie ścieżkę do niego. Wujek Google pomóg na tyle, że wskazał mi najlepsze miejsce w którym mógłbym znaleźć pomoc - zatem jestem TU i proszę o pomoc w usunięciu tego ustrojstwa.

OTL.Txt

Extras.Txt

[picasso]

Uwaga na początek, pobrałeś skądś potwornie stary AdwCleaner:

 

[2012-12-19 14:27:04 | 000,513,501 | ---- | C] () -- C:\Documents and Settings\Ania\Pulpit\adwcleaner-25.IX.exe

 

Najnowsza wersja to daleko do przodu. Wszystko w przyklejonym: KLIK.

 

 

---

Przechodząc do usuwania infekcji:

 

1. Przejdź w Tryb awaryjny Windows (loguj się na konto Ania a nie Administrator). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Ania\wgsdgsdgdsgsd.dll
C:\Documents and Settings\Ania\Menu Start\Programy\Autostart\runctf.lnk
 
:OTL
O3 - HKU\S-1-5-21-527237240-2146861641-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudioService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przejdź z powrotem w Tryb normalny. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[haggie]

...

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przejdź z powrotem w Tryb normalny. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

Wykonałem, załączam nowy log.

.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta. Możemy kończyć:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Zaktualizuj Firefox i Operę, usuń stary Adobe Reader + Adobe Shockwave Player i jeśli potrzebne zastąp najnowszymi: KLIK. Wg raportu obecnie w systemie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Opera 11.64.1403" = Opera 11.64

 

Czyszczenia folderów Przywracania systemu nie zadaję. Wg OTL Extras Przywracanie jest ogólnie wyłączone.

 

 

 

PS. I jeszcze widzę zainstalowanego potworka Gadu-Gadu 10. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

 

.

[haggie]

Dziękuję, picasso jesteś wielki.

Pozdrawiam

[picasso]

Picasso był owszem wielkim malarzem. Ja jestem kobietą.

 

Temat rozwiązany. Zamykam.

 

 

 

.