Polska Policja, Cyberprzestępczość Departament

[mj23]

Po uruchomieniu komputera pojawia się komunikat

"Polska Policja, Cyberprzestępczość Departament, Twój komputer został zablokowanej aktywności cybernetycznej.

Praca Twojego komputera została zablokowana z powodu nie sankcjonowania.

Żeby odblokować komputer i uniknąć innych konsekwencji prawnych, jesteś zobowiązany do zapłacenia grzywny w wysokości 400 zł (paysafecard)."

 

Uruchomiłem Tryb awaryjny z linią poleceń.

GMER po przeskanowaniu nic nie wyświetlił i nic nie zapisał.

Podczas sprawdzania SecurityCheck wystąpił błąd.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Documents and Settings\Sławomir P\Ustawienia lokalne\Temp\wpbt0.dll
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.js
C:\Documents and Settings\Sławomir P\Menu Start\Programy\Autostart\runctf.lnk
 
:OTL
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny (system zostanie odblokowany).

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[mj23]

Bardzo wolne działanie systemu. Ciągła praca dysku twardego.

OTL.Txt

GMER.txt

[picasso]

O ile poprzednie zadania pomyślnie wykonane, to widzę że wskoczył tu jakiś nowy wątek:

 

 

Bardzo wolne działanie systemu. Ciągła praca dysku twardego.

 

Uruchamiałeś GMER. Czasem występują skutki uboczne jego uruchomienia, czyli przy braku odpowiedzi z kontrolera dysku obniżenie transferu dysku z DMA do PIO. Sprawdź to: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na "bieżący tryb transferu". Jeśli będzie PIO, z prawokliku odinstaluj kanał i zresetuj system, a Windows przebuduje urządzenia.

 

 

 

.

[mj23]

Podstawowy kanał IDE to nagrywarka.

Dysk twardy fujitsu SATA AHCI.

 

Procesy, które najwięcej zajmują procesor:

doScan.exe

rtvscan.exe

 

W systemie jest zainstalowany Symantec antywirus.

 

Procesor bez obciążenia: 5-100%.

[picasso]

Podstawowy kanał IDE to nagrywarka.

Dysk twardy fujitsu SATA AHCI.

 

Nie chodziło mi o nagrywarkę tylko dysk twardy. Jeśli jednak HDD pracuje w trybie AHCI a nie IDE, to nie ma takich ustawień.

 

 

Procesy, które najwięcej zajmują procesor:

doScan.exe

rtvscan.exe

 

W systemie jest zainstalowany Symantec antywirus.

 

Sprawa zdaje się jasna: całkowita deinstalacja Symantec. I tak by była, bo to strasznie archaiczna wersja, iluzoryczne zabezpieczenie, komponenty z roku 2006:

 

 

========== Services (SafeList) ==========

 

SRV - [2006-11-27 13:24:38 | 000,120,416 | ---- | M] (symantec) [Auto | Running] -- C:\Program Files\Symantec AntiVirus\SavRoam.exe -- (SavRoam)

SRV - [2006-11-27 13:23:26 | 001,835,104 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Symantec AntiVirus\Rtvscan.exe -- (Symantec AntiVirus)

SRV - [2006-11-27 13:20:08 | 000,031,328 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Symantec AntiVirus\DefWatch.exe -- (DefWatch)

SRV - [2006-09-13 12:54:01 | 002,528,960 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files\Symantec\LiveUpdate\LuComServer_3_1.EXE -- (LiveUpdate)

SRV - [2006-08-07 15:03:02 | 000,214,720 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe -- (SNDSrvc)

SRV - [2006-07-19 18:26:12 | 000,169,632 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe -- (ccSetMgr)

SRV - [2006-07-19 18:26:06 | 000,192,160 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe -- (ccEvtMgr)

SRV - [2006-04-11 16:13:38 | 001,160,848 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe -- (SPBBCSvc)

 

========== Driver Services (SafeList) ==========

 

DRV - [2012-12-17 12:09:48 | 001,601,184 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\VirusDefs\20130108.003\NAVEX15.SYS -- (NAVEX15)

DRV - [2012-12-17 12:09:48 | 000,092,704 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\VirusDefs\20130108.003\NAVENG.SYS -- (NAVENG)

DRV - [2012-10-18 08:24:12 | 000,106,656 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)

DRV - [2012-08-01 01:34:45 | 000,376,480 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)

DRV - [2006-09-18 15:55:28 | 000,109,744 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Symantec\SYMEVENT.SYS -- (SymEvent)

DRV - [2006-09-06 12:41:20 | 000,337,592 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Symantec AntiVirus\savrt.sys -- (SAVRT)

DRV - [2006-09-06 12:41:20 | 000,054,968 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Symantec AntiVirus\Savrtpel.sys -- (SAVRTPEL)

DRV - [2006-08-07 15:02:26 | 000,195,776 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\symtdi.sys -- (SYMTDI)

DRV - [2006-08-07 15:02:22 | 000,024,768 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\symredrv.sys -- (SYMREDRV)

DRV - [2006-04-11 16:13:34 | 000,389,776 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys -- (SPBBCDrv)

 

 

Odinstaluj przez Dodaj/Usuń programy Symantec AntiVirus + LiveUpdate 3.1 (Symantec Corporation). Następnie wejdź w Tryb awaryjny i zapraw Norton Removal Tool. Reset systemu i podaj rezultaty czy jest poprawa.

 

 

.

[mj23]

Dziękuję bardzo pomogło.

 

Miałem problem z odinstalowaniem Symantec AntiVirus bo pytał o hasło deinstalacji programu (Symatec Client). Ominąłem ten problem zmianą wartości z 1 na 0 w HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security\useVPuninstallpassword.

[picasso]

Czynności końcowe:

 

1. W OTL uruchom Sprzątanie, co usunie OTL i kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj wszystkie stare dziurawe wersje Adobe i Java oraz zaktualizuj Internet Explorer: KLIK. Dostarczony tu Extras pokazywał wersje krytyczne:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0150020}" = J2SE Runtime Environment 5.0 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{AC76BA86-0000-7EC8-7489-000000000702}" = Adobe Acrobat 7.0.1 and Reader 7.0.1 Update
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

 

To m.in. dziury w Java i wtyczce Adobe Reader są otwartą furtką infekcji "policyjnych".

 

 

 

.