"Komputer został zablokowany z powody naruszenia prawa polskiego" - Ukash płatność - mega wirus

[Papi42]

===================================================================

 

"Komputer został zablokowany z powody naruszenia prawa polskiego" -

 

- Ukash płatność - mega wirus

 

===================================================================

 

Witam,

 

Wczoraj, gdy przeglądalem internet w celu sprawdzenia systemu rezerwacyjnego mojej firmy pojawil się znany już większości użytkowników serwisu fixitpc.pl komunikat: "Komputer został zablokowany z powody naruszenia prawa polskiego". Ponieważ czytając zauważylem wiele blędów gramatycznych jak i ortorgaficznych uznałem, że to nie powiadomienie rządowe tylko wirus. Błędem bardzo rzucającym się w oczy był brak korony na głowie orła w godle naszego kraju. Poniżej w załącznikach znajdują się logi mojego komputera. Proszę o pomoc.

 

P.S.

Jestem tu pierwszy raz więc nie wiem czy to wszystko, co było potrzebne.

Extras.Txt

OTL.Txt

[picasso]

"Mega - wirus"? Ty jako użytkownik "zastraszony" widzisz to w taki sposób. Ta infekcja jest prosta, niezbyt dużo elementów, a także ingerencja ograniczona do uciążliwego "straszenia". Np. nie uszkadza danych użytkownika. A są gorsze warianty infekcji modelu UKASH np. infekcja, która wykonuje kasację dokumentów użytkownika i ich zaszyfrowanie ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [termmgr] C:\Users\_MILUSIE\AppData\Local\Microsoft\Windows\258\termmgr.exe File not found
O4 - HKLM..\Run: [wevtutil] C:\Users\PAWCIO\AppData\Local\Microsoft\Windows\1533\wevtutil.exe ()
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
IE - HKU\S-1-5-21-1206898910-2770715022-3055033036-1011\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found
FF - prefs.js..browser.search.defaultthis.engineName: "4shared.com Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=2&q="
 
:Files
C:\Users\_MILUSIE\AppData\Local\Microsoft\Windows\258
C:\Users\PAWCIO\AppData\Local\Microsoft\Windows\1533
C:\Users\PAWCIO\AppData\Roaming\hellomoto
C:\Users\_MILUSIE\AppData\Roaming\hellomoto
C:\Users\PAWCIO\AppData\Roaming\Mozilla\Firefox\Profiles\v8ncl2md.default\searchplugins\conduit.xml
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Jeśli nie instalowałeś celowo, możesz przez Panel sterowania odinstalować Pasek narzędzi AOL 5.0.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Papi42]

Dzisiaj gdzy włączyłem komputer wirusa nie było , a nie uruchamiałem jeszcze tego skryptu. Nie wiem, czy na pewno go nie ma, więc załączam logi z komputera.

Extras.Txt

OTL.Txt

[picasso]

To nie zmienia instrukcji. Nie widzisz tej planszy, bo któryś program usunął plik infekcji, ale nadal brud poboczny (pusty już ale nadal wpis startowy infekcji, katalog poboczny hellomoto i szczątki adware). Tak poza tym, logi zostały zrobione z innych kont. Pierwszy zestaw to PAWCIO, drugi to _MILUSIE. To jest różnica, każde konto ma inny rejestr i inne katalogi.

 

Skrypt nadal aktualny (drobne niezgodności wystąpią, ale przetwarzaj mimo to), z poziomu konta PAWCIO.

 

 

.

[Papi42]

Czyli mam wykonać skrypt na koncie PAWCIO, następnie komputer powinien się zresetować i powinien otworzyć się log z OTL. Mogę wtedy odinstalować AOL 5.0. Na koniec mam przesłać logi z komputera (bez pliku Extras.txt) na forum.

[picasso]

Tak Papi42, masz się zalogować na konto PAWCIO i z jego poziomu wykonać operacje.

[Papi42]

Dziękuję za odpowiedź. Zaraz załączę logi.

[Papi42]

Mam już log i czekam na sprawdzenie.

 

Pozdrawiam,

 

Papi42

 

P.S. Mam jeszcze jedno małe pytanko. Gdy otwieram jakiś folder (nie licząc tych na pulpicie) wyskakuje mi pewien bląd. Jest on załączony razem z logiem w załączniku (Przykład.png). Co jest tego powodem?

OTL.Txt

[picasso]

Nie podałeś loga z usuwania OTL przeprowadzonego na koncie PAWCIO. Ale OK, zostawmy to już, bo widzę zmiany w logu ze skamnowania. Skrypt definitywnie się wykonał. Ale Pasek narzędzi AOL 5.0 sobie zostawiłeś (aż tak "potrzebny"?). Wykończenie:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku cały majdan OTL.

 

2. Napraw błąd WMI numer 10 posługując się narzędziem Fix-it: KB2545227.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Wyciąg z listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

Uwaga poboczna: Gadu-Gadu 10. Sugeruję alternatywny program z obsługą sieci Gadu, nie tak męczący system. Artykuł: Darmowe komunikatory. Pod uwagę opisy: WTW, Kadu, Miranda i AQQ.

 

 

 

P.S. Mam jeszcze jedno małe pytanko. Gdy otwieram jakiś folder (nie licząc tych na pulpicie) wyskakuje mi pewien bląd. Jest on załączony razem z logiem w załączniku (Przykład.png). Co jest tego powodem?

 

Spróbuj załadować w rejestrze domyślne skojarzenia dla obiektów Directory + Folder:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CLASSES_ROOT\Directory]
 
[HKEY_CLASSES_ROOT\Directory]
"AlwaysShowExt"=""
@="File Folder"
"EditFlags"=hex:d2,01,00,00
"FriendlyTypeName"="@shell32.dll,-10152"
"FullDetails"="prop:System.PropGroup.Description;System.DateCreated;System.FileCount;System.TotalFileSize"
"InfoTip"="prop:System.Comment;System.DateCreated"
"NoRecentDocs"=""
"PreviewDetails"="prop:System.DateModified;*System.SharedWith;*System.OfflineAvailability;*System.OfflineStatus"
"PreviewTitle"="prop:System.ItemNameDisplay;System.ItemTypeText"
 
[HKEY_CLASSES_ROOT\Directory\Background]
 
[HKEY_CLASSES_ROOT\Directory\Background\shell]
 
[HKEY_CLASSES_ROOT\Directory\Background\shell\cmd]
@="@shell32.dll,-8506"
"Extended"=""
"NoWorkingDirectory"=""
 
[HKEY_CLASSES_ROOT\Directory\Background\shell\cmd\command]
@="cmd.exe /s /k pushd \"%V\""
 
[HKEY_CLASSES_ROOT\Directory\Background\shellex]
 
[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers]
 
[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\Gadgets]
@="{6B9228DA-9C15-419e-856C-19E768A13BDC}"
 
[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\New]
@="{D969A300-E7FF-11d0-A93B-00A0C90F2719}"
 
[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_CLASSES_ROOT\Directory\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,00,00
 
[HKEY_CLASSES_ROOT\Directory\shell]
@="none"
 
[HKEY_CLASSES_ROOT\Directory\shell\cmd]
@="@shell32.dll,-8506"
"Extended"=""
"NoWorkingDirectory"=""
 
[HKEY_CLASSES_ROOT\Directory\shell\cmd\command]
@="cmd.exe /s /k pushd \"%V\""
 
[HKEY_CLASSES_ROOT\Directory\shell\find]
"LegacyDisable"=""
"SuppressionPolicy"=dword:00000080
 
[HKEY_CLASSES_ROOT\Directory\shell\find\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,00,00
"DelegateExecute"="{a015411a-f97d-4ef3-8425-8a38d022aebc}"
 
[HKEY_CLASSES_ROOT\Directory\shellex]
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers]
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\Offline Files]
@="{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]
 
[HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers]
 
[HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers\FileSystem]
@="{217FC9C0-3AEA-1069-A2DB-08002B30309D}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers\Sharing]
@="{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers]
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\Offline Files]
@="{7EFA68C6-086B-43e1-A2D2-55A113531240}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}]
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{4a7ded0a-ad25-11d0-98a8-0800361b1103}]
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]
 
[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{ef43ecfe-2ab9-4632-bf21-58909dd177f0}]
@=""
 
[-HKEY_CLASSES_ROOT\SystemFileAssociations\Directory]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\Directory]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\Directory]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\Directory\OpenWithList]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\Directory\OpenWithProgids]
"File Folder"=hex(0):
 
[-HKEY_CLASSES_ROOT\Folder]
 
[HKEY_CLASSES_ROOT\Folder]
"ContentViewModeLayoutPatternForBrowse"="delta"
"ContentViewModeForBrowse"="prop:~System.ItemNameDisplay;~System.LayoutPattern.PlaceHolder;~System.LayoutPattern.PlaceHolder;~System.LayoutPattern.PlaceHolder;System.DateModified"
"ContentViewModeLayoutPatternForSearch"="alpha"
"ContentViewModeForSearch"="prop:~System.ItemNameDisplay;System.DateModified;~System.ItemFolderPathDisplay"
@="Folder"
"EditFlags"=hex:d2,03,00,00
"FullDetails"="prop:System.PropGroup.Description;System.ItemNameDisplay;System.ItemTypeText;System.Size"
"NoRecentDocs"=""
"ThumbnailCutoff"=dword:00000000
"TileInfo"="prop:System.Title;System.ItemTypeText"
 
[HKEY_CLASSES_ROOT\Folder\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,00,00
 
[HKEY_CLASSES_ROOT\Folder\shell]
 
[HKEY_CLASSES_ROOT\Folder\shell\explore]
"MultiSelectModel"="Document"
"ProgrammaticAccessOnly"=""
"LaunchExplorerFlags"=dword:00000018
 
[HKEY_CLASSES_ROOT\Folder\shell\explore\command]
"DelegateExecute"="{11dbb47c-a525-400b-9e80-a54615a090c0}"
 
[HKEY_CLASSES_ROOT\Folder\shell\open]
"MultiSelectModel"="Document"
 
[HKEY_CLASSES_ROOT\Folder\shell\open\command]
"DelegateExecute"="{11dbb47c-a525-400b-9e80-a54615a090c0}"
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,00,00
 
[HKEY_CLASSES_ROOT\Folder\shell\opennewprocess]
"MUIVerb"="@shell32.dll,-8518"
"MultiSelectModel"="Document"
"Extended"=""
"LaunchExplorerFlags"=dword:00000003
"ExplorerHost"="{ceff45ee-c862-41de-aee2-a022c81eda92}"
 
[HKEY_CLASSES_ROOT\Folder\shell\opennewprocess\command]
"DelegateExecute"="{11dbb47c-a525-400b-9e80-a54615a090c0}"
 
[HKEY_CLASSES_ROOT\Folder\shell\opennewwindow]
"MUIVerb"="@shell32.dll,-8517"
"MultiSelectModel"="Document"
"OnlyInBrowserWindow"=""
"LaunchExplorerFlags"=dword:00000001
 
[HKEY_CLASSES_ROOT\Folder\shell\opennewwindow\command]
"DelegateExecute"="{11dbb47c-a525-400b-9e80-a54615a090c0}"
 
[HKEY_CLASSES_ROOT\Folder\ShellEx]
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\ContextMenuHandlers]
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\ContextMenuHandlers\Library Location]
@="{3dad6c5d-2167-4cae-9914-f99e41c12cfa}"
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\ContextMenuHandlers\Offline Files]
@="{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}"
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\DragDropHandlers]
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\DragDropHandlers\{BD472F60-27FA-11cf-B8B4-444553540000}]
@=""
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\PropertySheetHandlers]
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\PropertySheetHandlers\BriefcasePage]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"
 
[HKEY_CLASSES_ROOT\Folder\ShellEx\PropertySheetHandlers\Offline Files]
@="{7EFA68C6-086B-43e1-A2D2-55A113531240}"
 
[HKEY_CLASSES_ROOT\Folder\ShellNew]
"Directory"=""
"IconPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,\
  00,00
"ItemName"="@shell32.dll,-30396"
"MenuText"="@shell32.dll,-30317"
"NonLFNFileSpec"="@shell32.dll,-30319"
 
[HKEY_CLASSES_ROOT\Folder\ShellNew\Config]
"AllDrives"=""
"IsFolder"=""
"NoExtension"=""
 
[-HKEY_CLASSES_ROOT\SystemFileAssociations\Folder]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\Folder]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Z prawokliku na plik wybierz opcję Scal, potwierdź import do rejestru.

 

3. Zresetuj system. Podaj rezultaty czy jest poprawa.

 

 

.

Edytowane 15 Sierpnia 2012 przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso