"Twój komputer został zablokowany z powodu naruszenia prawa polskiego"

[Borys]

Witam,

komputer Kaśki został zaatakowany przez malware - po włączeniu pojawia się informacja "Twój komputer został zablokowany z powodu naruszenia prawa polskiego" i nie można nawet uruchomić menadżera zadań.

Sprawa jak widzę jest znana ale trochę zadziałałem pośpiesznie i użyłem na własną rękę antybiotyku o nazwie Combo FIX. Jak by tego było mało uruchomiłem "nieswój" skrypt w OTL. Działałem odruchowo i rozpaczliwie ponieważ Katarzyna zagroziła że dopóki komputer nie będzie sprawny nie będzie prasowania koszul (mam czas do końca tygodnia pod warunkiem, że nie będzie upałów).

 

Komputer to Apple - desktop z dwoma systemami operacyjnymi. Windows wgrany jest na osobnej partycji wydzielonej przez Boot Camp.

Po infekcji uruchomiłem komp. w trybie awaryjnym i odpaliłem ComboFIX'a. ComboFIX nie dokończył działania bo się zawiesił. Wirus pozostał.

Następnie znów w trybie awaryjnym wykonałem OTL'em skrypt (jak się okazało był przeznaczony pod inny system) - komp. się zrestartował i przez krótką chwilę (10-15s.) było dobrze. Wirus pozostał.

Obecnie w trybie awaryjnym utworzyłem nowy profil - jak na razie nie jest zainfekowany (logi zrobiłem z tego właśnie profilu).

W nowym profilu uruchomiłem kilka najpopularniejszych programów antywirusowych, które nic nie wykryły.

 

... potem wszystko grzecznie przeczytałem i załączam wymagane logi. Pani Doktor - są jakieś szanse?

 

P.S. Logi są z innego niezainfekowanego profilu. Jeśli trzeba spróbuję zrobić je z profilu Kaśki w trybie awaryjnym.

Extras.Txt

Gmer.txt

OTL.Txt

[picasso]

Obecnie w trybie awaryjnym utworzyłem nowy profil - jak na razie nie jest zainfekowany (logi zrobiłem z tego właśnie profilu).

 

Logi muszą być zrobione z poziomu profilu na którym jest problem. Inne rejestry i foldery kont = inne logi. W tym momencie z poziomu "maria awaria" mało widać, tylko folder poboczny infekcji hellomoto, toteż przerzuć się na "Kaśkę" i zrób nowy log OTL.

 

 

 

.

[Borys]

Załączam logi z profilu Kaśki.

OTL.Txt

Extras.Txt

[picasso]

Na Kaśce nic nie widać. Czy na pewno problem z blokadą nadal występuje? W związku z tym zadaję końcowe czyszczenie:

 

1. Przez SHIFT+DEL skasuj te foldery z dysku:

 

C:\Users\Kasia\AppData\Roaming\hellomoto

C:\Users\Kasia\AppData\Roaming\OpenCandy

C:\Windows\erdnt

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Kasia\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy, w OTL uruchom Sprzątanie, które skasuje z dysku folder z wypocinami skryptowymi oraz OTL jako taki.

 

3. Dziennik zdarzeń mieli błąd WMI numer 10. Posłuż się naprawiaczem z KB2545227.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Wykaz z listy zainstalowanych co jest widzialne:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera/FF)
"Gadu-Gadu" = Gadu-Gadu 7.0

 

 

GG7 też zakreślane, ze względu na następujące "cechy": niski poziom bezpieczeństwa (brak szyfrowanego łączenia) + brak zgodności z własną siecią. Sugeruję dobór alternatywy z obsługą sieci Gadu, jeden z tych: WTW, Kadu, Miranda, AQQ (ale tu reklamy i zasoby ciśnięte przez dekoracyjne skiny). Pogrubiony = polecany. Opisy w materiale Darmowe komunikatory.

 

 

.

[Borys]

Dziwne rzeczy dzieją się w tym krzemowym rozumku. Wirus jakby sam odpuścił (jak widać już przed wygenerowaniem kolejnych logów). Tak czy siak ja odzyskałem autorytet a Kasia komputer.

 

Oczywiście wszystkie kroki zadania końcowego czyszczenia poczyniłem:

 

C:\Users\Kasia\AppData\Roaming\hellomoto - usunięto

C:\Users\Kasia\AppData\Roaming\OpenCandy - usunięto

C:\Windows\erdnt - usunięto (windowsowi musiało jakoś zależeć na tym folderze bo się trochę pultał)

 

C:\Users\Kasia\Desktop\ComboFix.exe /uninstall - usunięto zgodnie ze sztuką

 

w OTL uruchom Sprzątanie, - wykonano.

 

Posłuż się naprawiaczem z KB2545227. - naprawiacz zciągnięto i uruchomiono

 

Wykonaj podstawowe aktualizacje: KLIK. - tu pojawił się pewien problem: serwis packa nie chciał mi zainstalować bo ponoć mam a i z Internet Explorerem nic nie wyszło bo ponoć mam zainstalowaną nowszą wersję.

 

 

Komputer jak już wspomniałem wyżej jest odblokowany. Ale po uruchomieniu pojawia się okno błędu: "DEAMON Tools Lite: Ten program wymaga przynajmniej systemu Windows 2000 oraz SPTD w wersji 1.60 lub wyższej. Debugger jądra musi zostać wyłączony"

 

Nie wiem co to za cholera ale chyba niegroźna?

 

Pragnę podziękować za niesamowicie fachową pomoc. Żyjąc 35 lat na tym świecie zwątpiłem w ludzkość i do tego momentu byłem przekonany, że bezinteresowni informatycy wyginęli wraz z Windowsem95. Aż tu nagle objawił mi się Cyberanioł i to w żeńskiej postaci!

 

Mam jeszcze pytanie: co zrobić aby się ustrzec przed tego typu infekcjami? Kasperski się niesprawdził, NOD nic nie wykrył a ja bardzo nie lubię pracować w zakondonionym firewallami systemie.

 

Kłaniam się nisko - BB

[picasso]

Wykonaj podstawowe aktualizacje: KLIK. - tu pojawił się pewien problem: serwis packa nie chciał mi zainstalować bo ponoć mam a i z Internet Explorerem nic nie wyszło bo ponoć mam zainstalowaną nowszą wersję.

 

Tu już nieporozumienie z Twojej strony. Instrukcje są zbiorcze, opisują wszystko, bo jak niby miałabym to podzielić (nieskończona ilość kombinacji software na cudzych systemach). Skierowany tam użytkownik ma wykonać tylko część, która pasuje do jego sytuacji. Tzn. to co zakreślił pomagający. Oczywiście, że SP1 + IE9 tu się nie aplikuje, bo to już jest:

 

Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

 

Zakreśliłam konkretne aplikacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Opera/FF)

 

 

Ale po uruchomieniu pojawia się okno błędu: "DEAMON Tools Lite: Ten program wymaga przynajmniej systemu Windows 2000 oraz SPTD w wersji 1.60 lub wyższej. Debugger jądra musi zostać wyłączony"

 

Tak, bo przygotowując podłoże do skanu GMER nie odinstalowałeś programu, pozostawiając go w starcie, ale jednocześnie usunąłeś sterownik SPTD:

 

DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd)
 
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

 

Czyli stworzyłeś niespójny układ. DAEMON Tools nie może działać bez tego sterownika, ba, nawet nie jest możliwe jego odinstalowanie (błąd o "naruszeniu struktur"). W aktualnej sytuacji należy posłużyć się ponownie narzędziem SPTDinst, tym razem w celu instalacji sterownika SPTD. Po restarcie błąd ustąpi.

 

 

Mam jeszcze pytanie: co zrobić aby się ustrzec przed tego typu infekcjami? Kasperski się niesprawdził, NOD nic nie wykrył a ja bardzo nie lubię pracować w zakondonionym firewallami systemie.

 

Dyskusja: KLIK. Wynikowa: zachowań użytkownika, statusu aktualizacji jego oprogramowania (dlatego też m.in. jest punktowana na tym systemie przestarzała Java).

 

 

.