m599 Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Witam, mam ten sam problem co wielu użytkowników w ostatnim czasie: 'Twój komputer został zablokowany z powodu naruszenia prawa polskiego'. Załączam logi OTL i uprzedzam, że nie bardzo się na tym wszystkim znam. Będę wdzięczna za szybką pomoc. Pozdrawiam. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WPDShServiceObj] C:\Users\Monika\AppData\Local\Microsoft\Windows\4915\WPDShServiceObj.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=fafa867a000000000000701a045b9ec7" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={BFBA599F-3EEB-489F-8A94-CE7DCEF2522D}&mid=706288cbaf2f47d0bdc1d16f64acd459-6eeba56c8d9911494aca205e8bf59ed300750455&lang=pl&ds=gm011&pr=sa&d=2012-05-30 21:29:45&v=11.1.1.7&sap=dsp&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..keyword.URL: "https://isearch.avg.com/search?cid=%7B9726efb6-880a-46d5-8f53-0d003ac99d2e%7D&mid=706288cbaf2f47d0bdc1d16f64acd459-6eeba56c8d9911494aca205e8bf59ed300750455&ds=gm011&v=11.1.1.7&lang=pl&pr=sa&d=2012-05-30%2021%3A29%3A45&sap=ku&q=" :Files C:\Users\Monika\AppData\Local\Microsoft\Windows\4915 C:\Users\Monika\AppData\Roaming\hellomoto C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 2. . Odnośnik do komentarza
m599 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Dzięki za szybką odpowiedź, załączam te nowe logi. Nie wiem, czy te pliki są ok, ale komputer już jest odblokowany, z tym że teraz weszłam w Centrum Akcji i mam wyłączoną (i nie mogę jej włączyć) 'usługę Centrum zabezpieczeń systemu Windows'. Czyli by wychodziło na to, że ten wirus nie został jakoś całkowicie usunięty i dalej 'działa'? Co z tym dalej zrobić? Z góry dziękuję za jakieś wskazówki. OTL ususwanie.txt AdwCleanerS1.txt OTL nowy.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Zasady działu: KLIK. Proszę nie pisać posta pod postem, gdy nikt jeszcze nie odpisał. Do uzupełniania informacji służy funkcja Edytuj. Sklejam posty. z tym że teraz weszłam w Centrum Akcji i mam wyłączoną (i nie mogę jej włączyć) 'usługę Centrum zabezpieczeń systemu Windows'. Czyli by wychodziło na to, że ten wirus nie został jakoś całkowicie usunięty i dalej 'działa'? Co z tym dalej zrobić? Po to właśnie był log z Farbar Service Scanner. W skanie OTL była polityka HideSCAHealth (już usunięta skryptem), która odpowiada za ukrywanie ikony Centrum w obszarze powiadomień. To ukrywa też komunikaty o rzeczywistej usterce Centrum. Stąd był skan Farbar na status usługi Centrum zabezpieczeń. Wg raportu usługa jest wyłączona i nie wątpię, iż to zrobiło któreś malware. Jest także wyłączony Windows Defender, ale to pomijam, bo działa Avira i Windows Defender całkowicie zbędny. Do wykonania kolejna porcja czynności: 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. 2. Nowy skan OTL pokazuje elementy, których nie było poprzednio, czyli foldery fałszywego "skanera" Live Security Platinum. Przez SHIFT+DEL skasuj: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF8502E0BE37236B5A1BF875F020 3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
m599 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Wszystko działa bez zarzutu. Dziękuję bardzo za pomoc. Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Na zakończenie aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi i to m.in. stara Java naraża na tę infekcję: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi