Złamanie prawa polskiego i zablokowany komputer

[Cyro]

Witam serdecznie.

Po odpaleniu dzisiaj laptopa pojawiła się plansza informująca mnie, że złamałem prawo polskie. Komputer został całkowicie zablokowany. Początkowo się wystraszyłem, ale korzystając z drugiego komputera poszperałem trochę w necie i wszystkie znaki na niebie skierowały mnie na to forum.

Bardzo proszę o pomoc. Niestety muszę się przyznać, że jestem totalnym laikiem.

W miarę możliwości proszę o pokierowanie mnie co mam zrobić.

Z góry dziękuję!!!

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\01.tmp -- (uidyo)
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe ()
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
IE - HKU\S-1-5-21-1606980848-220523388-1417001333-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
 
:Files
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812
C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Komputer powinien zostać odblokowany.

 

2. Przejdź do Panelu sterowania i odinstaluj zbędny pasek Ask Toolbar. Popraw przez AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

3. Wygeneruj nowy log OTL na dostosowanym warunku, tzn. w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj (a nie Wykonaj skrypt!).

 

hklm\software\clients\startmenuinternet|command /rs

dir /s /a "C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto" /C

 

Również wykonaj zaległy log z GMER, podkreślam że należy usunąć sterownik SPTD od emulacji napędów wirtualnych, by GMER miał prawidłowe tło uruchomieniowe.

 

DRV - [2009-05-31 21:48:01 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Dołącz logi z usuwania pozyskane w punktach 1+2.

 

 

 

.

[Cyro]

Komputer DZIAŁA!!!!!

Dla mnie to jakaś czarna magia. Starałem się wykonać wszystko wg instrukcji. Mam nadzieje, że dobrze.

Jedyny problem jest z uruchomieniem GMER. Za każdym razem niebieski ekran.

AdwCleanerR1.txt

OTL.Txt

[picasso]

Zapomniałeś dodać log z wynikami usuwania OTL, ale w sumie już mi niepotrzebny. Wszystko z obszaru infekcji zdaje się być wykonane. Jednakże:

 

1. AdwCleaner uruchomiłeś z opcji Search, a miało to być Delete. Ponów akcję, log mi już niepotrzebny z tego.

 

2. Drobne odpadki adware należy wykończyć ręcznie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q="
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=2&q="
[2009-01-15 09:42:56 | 000,000,898 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\9hyjqa3d.default\searchplugins\conduit.xml
[2009-05-31 21:52:48 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\9hyjqa3d.default\searchplugins\daemon-search.xml
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem obejdzie się bez restartu.

 

3. Log z OTL nie zdołał zrobić DIR tego katalogu (który mnie zastanowił):

 

C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto

 

Wejdź do niego i podaj mi co w nim widzisz.

 

 

Jedyny problem jest z uruchomieniem GMER. Za każdym razem niebieski ekran.

 

Czy wykonałeś ogłoszenie: KLIK?

 

 

Dla mnie to jakaś czarna magia.

 

Jestem specjalistką od takich trików.

 

 

 

.

[Cyro]

Przepraszam za niedocoągnięcia. Już się poprawiłem.

Punkt 1 i 2 wykonany.

W folderze hellomoto są dwa pliki typ DAT o nazwie: BukF oraz TujP.

Ogłoszenie wykonałem, dalej od razu się zawiesza.

[picasso]

Ogłoszenie wykonałem, dalej od razu się zawiesza.

 

Dobra, darujmy sobie tego GMERa. Jeśli Twój program do napędów wirtualnych nadal jest w systemie, należy wykonać odwrotność w narzędziu SPTDinst i zainstalować sterownik SPTD. A jeśli ten sterownik to był jakiś odpadek, nic nie przywracaj.

 

 

W folderze hellomoto są dwa pliki typ DAT o nazwie: BukF oraz TujP.

 

Folder o podejrzanej zawartości i tworzony mniej więcej w czasie infekcji. Przez SHIFT+DEL go skasuj. I galopujemy:

 

 

1. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do wykonania aktualizacje: KLIK. Z Twojej listy zainstalowanych obiekty pod uwagę:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java™ 6 Update 13
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

PS. Gadu-Gadu 10 można zamienić mniej pamięciożerną i szybszą alternatywą. Przewertuj Darmowe komunikatory. Propozycje: WTW, Miranda, Kadu, AQQ (ten ma reklamy i przez system kompozycji nie taki lekki).

 

 

.

[Cyro]

Dalsze kroki niestety muszą poczekać aż wrócę z pracy.

Na razie bardzo dziękuję za pomoc.

Od wczoraj nurtuje mnie jedno pytanie: Co się stało z Nortonem? Dlaczego dopuścił do zainfekowania i w dalszym ciągu twierdzi, że komputer jest czysty???

[picasso]

Od wczoraj nurtuje mnie jedno pytanie: Co się stało z Nortonem? Dlaczego dopuścił do zainfekowania i w dalszym ciągu twierdzi, że komputer jest czysty???

 

Być może nie ma tego w bazie, być może infekcja ładuje się w taki sposób, że Norton tego nie wyłapuje. Nie wiem. Na "pocieszenie": na forum tutaj w UKASH-tematach różne antywirusy, a skutki te same. Swoją drogą, ja tu się zastanawiałam nieco nad Twoim logiem, niektóre sterowniki Symantec są oznaczone jako "not found":

 

========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMNDIS.SYS -- (SYMNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMIDS.SYS -- (SYMIDS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\NIS\1008000.029\SYMFW.SYS -- (SYMFW)
 
DRV - [2012-06-19 02:01:14 | 000,821,920 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.6.0.29\Definitions\BASHDefs\20120619.001\BHDrvx86.sys -- (BHDrvx86)
DRV - [2012-06-14 20:39:26 | 000,369,632 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.6.0.29\Definitions\IPSDefs\20120629.001\IDSXpx86.sys -- (IDSxpx86)
DRV - [2012-06-02 19:11:44 | 000,376,480 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2012-05-16 17:50:20 | 001,589,752 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.6.0.29\Definitions\VirusDefs\20120702.002\NAVEX15.SYS -- (NAVEX15)
DRV - [2012-05-16 17:50:20 | 000,087,928 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.6.0.29\Definitions\VirusDefs\20120702.002\NAVENG.SYS -- (NAVENG)
DRV - [2011-07-14 17:16:04 | 000,126,584 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2011-04-21 03:37:49 | 000,369,784 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\symtdi.sys -- (SYMTDI)
DRV - [2011-03-31 05:00:09 | 000,516,216 | R--- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\srtsp.sys -- (SRTSP)
DRV - [2011-03-31 05:00:09 | 000,050,168 | R--- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\srtspx.sys -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
DRV - [2011-03-15 04:31:23 | 000,744,568 | R--- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\symefa.sys -- (SymEFA)
DRV - [2011-01-27 08:47:10 | 000,340,088 | R--- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\symds.sys -- (SymDS)
DRV - [2011-01-27 07:07:05 | 000,136,312 | R--- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1207020.003\ironx86.sys -- (SymIRON)

 

Trudno mi tu było się ustosunkować czy to rzeczywista wada, te wpisy poprzez numerykę 1008000.029 w nazwach folderów sugerują mało istotne odpadki po zaprzeszłej aktualizacji. Ogarnęła mnie jednak wątpliwość ze względu na nazwy sterowników (SYMNDIS | SYMIDS | SYMFW), gdyż nie mają repliki w "świeżej" wyglądającym numerze 1207020.003.

 

 

.

[Cyro]

Wszystkie powyższe polecenia wykonane.

Jeśli to już wszystko to chciałbym bardzo podziękować za pomoc!!!

Jestem pełen uznania i szacunku dla takich ludz

Pozdrawiam