Komputer został zablokowany z powodu naruszenia prawa polskiego - Ukash

[Czivas]

Hej !

 

Mam podobny problem, co kilku innych użytkowników. Komputer jest zablokowany, uruchomiłem system w trybie awaryjnym z obsługą sieci i na podstawie OTLa zrobiłem raporty, które są w załącznikach. Korzystam z systemu operacyjnego Windows 7 Home Premium, 64 bitowa wersja.

 

Proszę bardzo o pomoc w dalszym postępowaniu.

 

Pozdrawiam

Kamil

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [sensApi] C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386\SensApi.exe ()
[2010-01-05 23:58:22 | 000,000,000 | ---D | M](C:\Windows\SysNative\??Logs) -- C:\Windows\SysNative\Logs
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe -- (AVBackup)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)
DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI)
DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT)
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
 
:Files
C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386
C:\Users\Kamil\AppData\Roaming\hellomoto
C:\Users\Kamil\AppData\Local\Temp*.html
C:\Users\Kamil\uz.dat
C:\Program Files (x86)\mozilla firefox\extensions\{27E679CC-6AAB-4B2A-BB87-096FE4178464}
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj adware: DAEMON Tools Toolbar, Winamp Toolbar. Odinstaluj przy okazji zbędny Akamai NetSession Interface.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 1+3.

 

 

 

.

[Czivas]

Wszystko zostało zrobione tak jak podano w instrukcji. Komputer został odblokowany, wygenerowałem nowe log'a, które przedstawiam w załącznikach.

 

Czy muszę zrobić coś jeszcze, czy na tym etapie następuje zakończenie akcji odblokowania i usuwania "śmieci" z komputera?

 

Bardzo dziękuję za fachową pomoc !

log z opcji delete AdwCleaner.txt

log z wynikami usuwania.txt

OTL.Txt

[picasso]

Zadanie wykonane, ale jeszcze do zrobienia parę rzeczy.

 

1. Uruchom GrantPerms x64, w oknie wklej co podane niżej i klik w Unlock.

 

C:\Windows\system32\drivers\etc\hosts

 

Po tej akcji zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Przez SHIFT+DEL skasuj ten plik z dysku:

 

C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\cjq44q28.default\searchplugins\daemon-search.xml

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. A GrantPerms ręcznie dokasuj.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

 

.

[Czivas]

Pozostałe zalecenia wykonane. Po pełnym skanowaniu wykryto 8 błędów, przedstawiam raport w załączniku.

mbam-log-2012-07-07 (20-25-02).txt

[picasso]

1. Oceniając skan: na pewno od malware są wszystkie wyniki z sekcji "Wykrytych wartości rejestru" oraz plik uidsave.dat, crack od ESET to wiadomo dlaczego strzał dostał, Gygan.exe niejasny (to wynik z sandboxa, a to różnie bywa z detekcją), zaś ten ostatni nieistotny ze względu na naturę (skaner) i ogólnie możesz przez SHIFT+DEL skasować cały folder C:\Users\Kamil\Documents\Spycheck. Po usunięciu wszystkiego ponów czyszczenie folderów Przywracania systemu.

 

2. Jeszcze są do ściągnięcia dwa sterowniki ArcaBit:

 

DRV:64bit: - [2009-12-07 23:31:07 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)
DRV:64bit: - [2009-12-07 23:31:07 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis)

 

Te sterowniki filtrują urządzenia sieciowe i przed ich usunięciem musi zostać rozwiązana zależność, w przeciwnym wypadku padnie sieć. Akcja:

• Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne sprawdzasz jakich komponentów używa połączenie. Szukaj wpisów w rodzaju ABndis Driver, znalezione podświetl i odinstaluj.
  
• Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj pozycję pasujące do ArcaBit, podświetl i odinstaluj.
  

3. Wykonaj podstawy aktualizacyjne / weryfikację wersji: KLIK. Tutaj wykaz z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit)
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Mozilla Firefox (3.5.19)" = Mozilla Firefox (3.5.19)

 

(zważ na to, że tu są powielenia, wersje 64-bit oraz 32-bit tych samych aplikacji)

 

4. Notowalny brak rezydentnego zabezpieczenia. Może za darmo taki skromniejszy Microsoft Security Essentials?

 

5. Wykonaj prewencyjną wymianę haseł logowania w serwisach.

 

 

PS. Zasobożerne Gadu-Gadu 10 = może zainteresują Cię lżejsze alternatywy takie jak: WTW, Miranda, Kadu, AQQ. Wszystko opisane w Darmowe komunikatory.

 

 

 

.