Twoj komputer zostal zablokowany za zlamanie prawa polskiego. 500 zl Ukash

[xWTFx]

Witam !

 

Dzisiaj podczas przegladania stron internetowych wyswietlil mi sie komunikat : Twoj komputer zostal zablokowany za zlamanie prawa polskiego. Miedzy innymi jest tam napisane, ze jezeli nie zaplace 500 zl to w ciagu 3 dni sprawa trafi do sadu...

Od tego czasu mam powazny problem, otoz gdy wlanczam normalnie komputer to gdy go wlacze nic nie moge zrobic i od razu pojawia mi sie znowu ten sam komuniakt.Nie moge nawet uruchomic menadzera zadan ani nic nie, nie widze nawet paska startu, jedynie moge wejsc w tryb awaryjny windowsa.

Czytalem, ze to virus i chcialem go usunac w najprostszy sposob, wszedlem w tryb awarjny windowsa i wlaczylem avire i Microsoft Security Essentials ale zaden nie chcial mi dzialac w trybie awaryjnym, probowalem tez pobrac inne antywiry, czy tez programy do skanowania ale nic nie pomoglo...

Prosze o pomoc, jestem w tym ciemny, prosze o dokladne wytlumaczenie co i jak...

Widzialem juz na tym forum pare takich tematow ale jak napisalem wyzej jestem w tym ciemny i prosze o doklade wytlumaczenie co zrobic, jakich problemow uzyc i jak to zrobic itd.

Ps.Mam windows 7 i moge wejsc tylko w tryb awaryjny...

Chcialbym uniknac formata...

 

log.txt- skan z ComboFix

OTL.Txt, Extras.Thx- skany z OTL

log.txt

OTL.Txt

Extras.Txt

[picasso]

hopek i reszta

 

Samowolka. Proszę przeczytać zasady działu na temat autoryzacji wypowiedzi: KLIK.

 

 

xWTFx

 

Otrzymałeś złą poradę, od osoby nieuprawnionej, która nie zna się dostatecznie by prowadzić pomoc. Tu ComboFix nie był potrzebny i nic nie zrobił w obszarze infekcji (usuwał też obiekt c:\program files\Common Files\WireHelpSvc.exe, który wygląda na prawidłowy). Jest wiele wariantów UKASH, ComboFix nie adresuje wszystkich możliwości.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551\TsUsbRedirectionGroupPolicyExtension.exe ()
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\Daniel\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551
C:\Users\Daniel\AppData\Roaming\hellomoto
C:\Program Files\FunWebProducts
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D3D233D5-9F6D-436C-B6C7-E63F77503B30}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5BA9B1B3-A007-4F57-826D-C2FB4BC22565}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7402}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7402}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj Avira SearchFree Toolbar plus Web Protection Updater. W Firefox w menedżerze dodatków odinstaluj OpinionSquare.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

.

[xWTFx]

Mam problem ze znalezieniem log'u na dysku C z AdwCleaner. Moglbys napisac mi gdzie on sie dokladnie znajduje czy jak on sie nazywa ?

Nie zapisalem log'u z punktu 1 czy gdzies to sie zapisalo czy musze powtorzyc jeszcze raz punkt 1 ?

Na razie dodaje tylko log z OTL.

OTL.Txt New.txt

[picasso]

Moglbys napisac mi gdzie on sie dokladnie znajduje czy jak on sie nazywa ?

 

Apropos mógłbyś, jestem kobietą. W opisie narzędzia jest powiedziane, że usuwanie generuje wprost na dysku C plik loga o formule nazwy C:\AdwCleaner[sX].txt (gdzie X to numer odpowiadający ilości uruchomień tej procedury). Tak więc dołącz go dla klarowności przeprowadzonych procedur.

 

 

Nie zapisalem log'u z punktu 1 czy gdzies to sie zapisalo czy musze powtorzyc jeszcze raz punkt 1 ?

 

Log automatycznie się otwiera przy usuwaniu. Jeśli to nie nastąpiło, log i tak jest na dysku = nagrywany w katalogu _OTL plasowanym w głównym root dysku z którego uruchamiano OTL (w pierwszym logu widziałam uruchomienie z D = czyli D:\_OTL). Niemniej już daruj sobie jego dołączanie, gdyż po nowym skanie OTL widzę, iż zadanie się wykonało. Żadnego powtarzania skryptu! Przecież to skrypt jednorazowego użytku i nie wykona po raz drugi tego samego ... To jak próba usuwania rzeczy nieistniejących, bo już usuniętych przy pierwszym podejściu ze skryptem.

 

 

---

Analizując nowy materiał, jak mówię usuwanie przeprowadzone i zostały tylko poprawki. I mam pytanie: czy antywirus AVG w ogóle działa? Notowalne wyszczerbione wpisy w logu ...

 

1. Otwórz Google Chrome i w menedżerze rozszerzeń odinstaluj resztkę Avira Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe -- (vToolbarUpdater11.2.0)
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
FF - prefs.js..extensions.enabledItems: {0b521176-81b5-4849-b963-98c7a257827d}:4.0
[2011-01-12 16:27:33 | 000,001,196 | ---- | M] () -- C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\b7c6tmmz.default\searchplugins\winamp-search.xml

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. I wystarczy do prezentacji tylko ten log z wynikami usuwania.

 

 

 

.

[xWTFx]

Antywirusa AVG calkowicie usunalem z dysku i zainstalowalem Microsoft Security Essentials ale zanim to zrobilem to chyba dzialal.

W google Chromie nie ma juz Avira Toorbal.

Dolanczam plik z AdwCleaner z wynikami usuwania.

AdwCleanerS2.txt

[picasso]

Podajesz uszkodzony log z AdwCleaner, brak zawartości, dobra = zostaw to już. I nie ma tu loga z usuwania OTL po wykonaniu ostatniego skryptu ...

 

 

Antywirusa AVG calkowicie usunalem z dysku i zainstalowalem Microsoft Security Essentials ale zanim to zrobilem to chyba dzialal.

 

Na wszelki wypadek z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem AVG Remover.

 

 

 

.

[xWTFx]

Zapomnialem o logu z OTL, teraz go dodaje...

07082012_110316.log OTL.txt

[picasso]

Wykonane. Kończymy:

 

1. Prawidłowa deinstalaja ComboFix (czyści też foldery Przywracania systemu). Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

D:\Downloads\ComboFix.exe /uninstall

 

2. Usunięcie pozostałych: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

 

.

[xWTFx]

Po tym wirusie system pracuje wolniej, wszystko wolniej sie wczytuje, zamula itd. Czy mozna w jakis sposob przywrocic to wszystko do poprzedniego stanu ?

 

Juz przeskanowalo system i wykrylo jeszcze 7 wirusow.

Dolanczam log ze skanowania.

mbam-log-2012-07-08 (15-07-55).txt

[picasso]

Po tym wirusie system pracuje wolniej, wszystko wolniej sie wczytuje, zamula itd. Czy mozna w jakis sposob przywrocic to wszystko do poprzedniego stanu ?

 

Wątpię, że to skutek infekcji. To jest prymitywna infekcja, jeden wpis startowy. Tu prędzej ta akcja nasuwa skojarzenia, antywirusy:

 

Antywirusa AVG calkowicie usunalem z dysku i zainstalowalem Microsoft Security Essentials ale zanim to zrobilem to chyba dzialal.

 

Ja w logu poprzednio widziałam coś nie tak z AVG, niby był a jednak nie. Czy zrobiłeś to:

 

Na wszelki wypadek z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem AVG Remover.

 

 

PS. A wyniki MBAM nic szczególnego i chyba tylko te z Softonic i Counter Strike w nazwie są relatywne do rzeczywistości (doczepione adware w instalatorze).

 

 

 

.

[xWTFx]

Nie, nie zrobilem tego, poniewaz zrobilem to na normalnym systemie, nie na awaryjnym. Czy to wystarczy czy mam zrobic jezcze raz to samo z trybu awaryjnego ?

[picasso]

Te narzędzia do usuwania antywirusów są specjalne i muszą być uruchamiane z poziomu Trybu awaryjnego. Poza tym, jeśli objawy nie ustąpią, to zainteresuj się tym co zaraz po leczeniu doinstalowałeś, a jest to ... MS security Essentials.