Wezwanie o zapłatę 500 zł na policję - infekcja

[leroypl]

Witam, nastąpiła dzisiaj niecodzienna sytuacja.

Sprawa wygląda następująco: młodszemu bratu, który operował komputerem jakąś godzinę temu, zaczęły wyskakiwać okienka, mnóstwo okienek z przeglądarki ze stronami o tematyce pornograficznej i pedofilskiej., następnie po tym wyskoczyła strona (w adresie posiadająca nazwę doctorsofseattle) informująca mnie, że komputer jest namierzany przez policję i w ciągu 48h mam wpłacić 500 zł, powód - zawieranie nielegalnych (spiraconych) plików na dysku. Spowodowane to jest pewnie tym, że brat przypadkowo wchodził w reklamy na stronach i tak pewnie komputer się zaraził tym świństwem. Domyśliłem się, że to wirus, po nazwie adresu oraz po tym, że w nagłówku strony jest napisane "Polizja". Po prawej stronie na tej witrynie jest okienko, w którym mam podać kod pin i okienko wyboru wartości. Podejrzane jest to, że opłacić mogę tylko formą ukash albo paysafecard. Dodatkowo informują mnie, że moje ip jest namierzane, a dane z komputera szyfrowane. Śmieszny trick z ip, ponieważ pokazuje tylko właśnie adres IP i lokalizację miasta w śmiesznej obramce, z napisem "Cyber Crime" pod lupą. Dodam, że nie mogę wyjść z tej strony, przy wyłączaniu karty przeglądarka prosi mnie o zatwierdzenie opuszczenia tej strony, klikając "Tak, opuść" okienko wraca do swojej formy i tak w kółko.

Proszę was o pomoc w rozwiązaniu tego problemu, załączam logi z OTL, FRST oraz opcjonalny z SecurityCheck.
Wiem, że po logach widać, jak kiepsko z aktualizacjami i antywirusem, po rozwiązaniu problemu zajmę się tym. GMER aktualnie skanuje komputer, dołącze logi jak skończy. (dołączony)
Z góry dziękuje!

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

checkup.txt

gmer.txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Nie masz żadnej infekcji.

A sciślej: pewnie masz najnowszą wersję tej infekcji - po zamknięciu okna komunikatu infekcja zniszczy samą siebie.

Zrób twardy restart Systemu - to powinno zanknąć okno komunikatu.

 

Są ślady sponsorskich śmieci, więc potem:

1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

 

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
[2013-10-07 08:07:28 | 000,000,000 | ---D | M] -- C:\Users\Pamela\AppData\Roaming\BabSolution
O3 - HKLM\..\Toolbar: (searchgol Toolbar) - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD)
O2 - BHO: (searchgol Helper Object) - {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} - C:\Program Files\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD)
[2013-09-14 13:44:37 | 000,000,000 | ---D | M] (uTorrentControl_v6) -- C:\Users\Skiba\AppData\Roaming\mozilla\Firefox\Profiles\7ncar2ai.default\extensions\{96f454ea-9d38-474f-b504-56193e00c1a5}
FF - prefs.js..browser.startup.homepage: "http://www.searchgol.com/?babsrc=HP_ss&mntrId=54AD0015CFE0C4CE&affID=125032&tsp=5028"
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hsygsqnn.sys -- (hsygsqnn)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys -- (FairplayKD)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

jessi

[leroypl]

Cześć Jessico, dzięki za szybką odpowiedź.
Zrobione jak kazałaś, o to nowe logi.

11142013_231118.txt

AdwCleanerS0.txt

OTL.Txt

[jessica]

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

 

Teraz możesz już spokojnie czekać na @Picasso - w najlepszym przypadku zacznie znów pomagać za tydzień, ale to baaardzo optymistyczna opcja, bo po operacji musi na pewno poleżeć kilka dni w szpitalu..

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[leroypl]

Wykonane, dzięki wielkie za pomoc, pozostaje zacisnąć kciuki i cierpliwie czekać na jej powrót.
Pozdrawiam!