Zablokowanie komputera na mocy 'prawa polskiego'

[jacekl]

Witam,

Trochę sobie o wszystkim już poczytałem, więc mam nadzieję, że temat uda mi się założyć zgodnie z zasadami (aczkolwiek śpieszno mi w danej chwili, więc proszę o wyrozumiałość).

Oto opis problemu, jak widzę często ostatnio:

Otóż dziś przeglądam sobie radośnie internet - dodam, że strony mi znane, żadnych nowości i podejrzanych linków i nagle znany już komunikat o zablokowaniu komputera i płatności. Stron miałem otwartych kilka, wszystkie niby zaufane (w rodzaju imdb), więc trudno mi powiedzieć, która konkretnie jest za to odpowiedzialna (dodatkowo w tle AVG i Zone Alarm - ten drugi jakieś parę minut wcześniej spytał się co prawda, czy może udostępnić dostęp do internetu jednemu z plików systemowych, ponownie nie pomnę dokładnie jakiemu, lecz w jego nazwie i zachowaniu nie było dla mnie nic nowego/niepokojącego). Potem zacząłem googlować - o mały włos nie uruchomiłem Combo fixa, ale w porę się zorientowałem i do tego nie doszło. Następnie uruchomiłem OTL, Gamra i Security check, efekty których załączam poniżej. Oczywiście będę wdzięczyny za jakąkolwiek pomoc, jednak odpowiedzieć nań będę mógł dopiero jutro, więc także proszę o odrobinę cierpliwości.

 

oto diagnostyka:

 

Results of screen317's Security Check version 0.99.42

Windows XP Service Pack 3 x86

Internet Explorer 7 Out of date!

``````````````Antivirus/Firewall Check:``````````````

AVG Anti-Virus Free Edition 2012

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Java 6 Update 31

Java version out of Date!

Adobe Flash Player 10 Flash Player out of Date!

Adobe Flash Player 11.3.300.262

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox (4.0.1)

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive E::

````````````````````End of Log``````````````````````

 

i logi

 

 

podrawiam

GMER.txt

OTL.Txt

Extras.Txt

[Landuss]

1. Wejdź w panel usuwania programów i odinstaluj: ZoneAlarm Toolbar / YouTube Downloader Toolbar

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
[2012-05-30 19:57:13 | 000,000,000 | ---D | M] (ZoneAlarm Security Suite Community Toolbar) -- E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}
[2012-05-30 19:57:20 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2011-12-24 16:02:42 | 000,000,000 | ---D | M] (Babylon) -- E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [uDC Integration]  File not found
O4 - HKLM..\Run: [WSManMigrationPlugin] E:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\411\WSManMigrationPlugin.exe ()
4 - HKCU..\Run: [LDM] \Program\ File not found
O4 - HKCU..\Run: [Power2GoExpress] NA File not found
 
:Files
E:\Documents and Settings\Jacek\Dane aplikacji\hellomoto
E:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\411
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[jacekl]

1. Niestety w trybie awaryjnym nie mogłem ich odinstalować normalnie, więc po prostu skasowałem je ręcznie.

 

2. zrobione

 

3. zrobione - komputer poprawnie uruchomił się w trybie zwykłym

 

4. poniżej i w załączniku wszystkie raporty, jakie mi się wyświetliły:

 

 

All processes killed

========== OTL ==========

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\searchplugin folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\modules folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\META-INF folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\defaults folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\components folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319}\chrome folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{3ce45c4f-bfff-4988-9a3c-a75c1f491319} folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\searchplugin folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\modules folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\META-INF folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\defaults folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\components folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}\chrome folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\defaults\preferences folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\defaults folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\content\imgs\flgs folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\content\imgs folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\content folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com\components folder moved successfully.

E:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\ceapuq6l.default\extensions\ffxtlbr@babylon.com folder moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UDC Integration deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WSManMigrationPlugin deleted successfully.

E:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\411\WSManMigrationPlugin.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Power2GoExpress deleted successfully.

========== FILES ==========

E:\Documents and Settings\Jacek\Dane aplikacji\hellomoto folder moved successfully.

E:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\411 folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Jacek

->Temp folder emptied: 996524661 bytes

->Temporary Internet Files folder emptied: 207873934 bytes

->Java cache emptied: 11847122 bytes

->FireFox cache emptied: 117840620 bytes

->Opera cache emptied: 44698774 bytes

->Flash cache emptied: 371274 bytes

 

User: LocalService

->Temp folder emptied: 2126249 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 2039944 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1139202 bytes

%systemroot%\System32 .tmp files removed: 3824676 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 17102949 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1 340,00 mb

 

 

OTL by OldTimer - Version 3.2.53.1 log created on 07082012_164959

 

Files\Folders moved on Reboot...

File\Folder E:\WINDOWS\temp\ZLT03678.TMP not found!

 

PendingFileRenameOperations files...

File E:\WINDOWS\temp\ZLT03678.TMP not found!

 

Registry entries deleted on Reboot...

 

 

Póki co wygląda, iż wszystko działa - tak czy siak olbrzymie dzięki za pomoc. Teraz jedynie boję się, żeby problem nie powrócił - czy mogę swobodnie przeglądać strony, na których byłem tuż przed tym incydentem czy lepiej nie? A może problem leżał gdzie indziej? Czy mogę się też jakoś zabezpieczyć na przyszłość? Być może jakiś upgrade antywirusów by się przydał - co sądzicie (choć przyznam, że w takiej konfiguracji wszystko było przez lata jak najbardziej ok - wczorajszy 'atak' to pierwszy tak poważny problem jaki miałem od dawna)?

Raz jeszcze wielkie dzięki

OTL.Txt

AdwCleanerS1.txt

[Landuss]

Teraz jedynie boję się, żeby problem nie powrócił - czy mogę swobodnie przeglądać strony, na których byłem tuż przed tym incydentem czy lepiej nie? A może problem leżał gdzie indziej? Czy mogę się też jakoś zabezpieczyć na przyszłość? Być może jakiś upgrade antywirusów by się przydał - co sądzicie (choć przyznam, że w takiej konfiguracji wszystko było przez lata jak najbardziej ok - wczorajszy 'atak' to pierwszy tak poważny problem jaki miałem od dawna)?

 

To ty powinieneś wiedzieć skąd to złapałeś. Lepiej wchodź na zaufane strony. Po prostu korzystaj rozsądnie z sieci i wtedy będzie dobrze.

 

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1

"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

[jacekl]

No właśnie nie wiem skąd to się wzięło, gdyż, jak pisałem na początku, tuż przed wystąpieniem 'komunikatu' miałem otwarte kilka kart, a wszystkie zawierały strony, na które wchodzę od dawna i nigdy nie było problemów. Poza tym, to czy nie od tego mam właśnie antywirusa i firewalla, żeby mnie ostrzegały/chroniły przed takimi rzeczami? Stąd też moje pytanie, czy może coś się nie sprawdza albo potrzebny mi jakiś update?

 

1. Zrobione, komputer uruchomiony ponownie wedle życzenia programu.

 

2. Zrobione wedle instrukcji.

 

3. Java i Adobe zaktualizowane, IE i Firefox, z których właściwie nie korzystam już miały te wersje, więc nie ruszałem.

 

4. OK

 

I póki co wszystko gra, choć przez weekend nie byłem jakoś wielce aktywny na kompie i w necie - mam jednak nadzieję, że problem nie powróci Raz jeszcze ogromne dzięki za wszelką pomoc.