Komputer został zablokowany z powodu naruszenia prawa polskiego

[terminator5000]

Witam serdecznie

Bardzo proszę o pomoc w znanej już kwestii -'komputer został zablokowany z powodu naruszenia prawa polskiego'. Poniżej załączam skan z OTL + Extras. Posiadam Win 7 64x. Z góry dziękuję

 

z tego co się już zorientowałem to jest to chyba weelsof/UKASH. Uzupełne jeszcze informacje o zarażeniu, jeżeli normalnie odpalę komputer wyskakuje mi ekran o treści -'komputer został zablokowany z powodu naruszenia prawa polskiego' (...) oraz, że muszę zapłacić 300zł by to odblokować - i nie mogę nic zrobić poza ctrl+alt+del, komputer działa w trybie awaryjnym z obsługą sieci i właśnie w taki sposów piszę tego posta. Chciałbym uratować system, ponieważ zależy mi na zawartości dysku. Próbowałem Hitmanem Pro ale też nic nie dało. Dorzucę jeszcze log z Combofix'a może w czymś pomoże, ponieważ też go użyłem. Bardzo proszę o info jak sobie z tym poradzić.

aha, dodam, że logi z OTL były wykonane zanim zainstalowałem ComboFix'a, także proszę o info czy zrobić je jeszcze raz??

 

W razie czego dorzucam jeszcze logi z OTL + Extras po zainstalowaniu i użyciu ComboFix'a

ComboFix.txt

OTL.Txt

Extras.Txt

[picasso]

Nadwyżkę logów obcinam, interesują mnie tylko bieżące sytuacje OTL. Na przyszłość na temat użytkowania ComboFix: KLIK. ComboFix użyty nie wiadomo po co, niepotrzebnie, nie usunął infekcji i tylko sobie pogorszyłeś sytuację. Otóż program wyrzucił z systemu prawidłowe oprogramowanie iPlus Manager. Cóż, będziesz musiał to potem reinstalować.

 

Poza tym, stosowałeś jakiś skrypt do OTL. Nie wolno sobie brać skryptów z cudzych tematów, to nie będzie działać (skrypt jest robiony pod konkretny system na podstawie logów z tegoż), a w szczególnym przypadku można sobie coś uszkodzić. Logi są unikatowe: inne platformy, ścieżki, konta, daty, nazwy obiektów ... Tak i skrypty na ich podstawie stworzone.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [wdscore] C:\Users\BO\AppData\Local\Microsoft\Windows\4136\wdscore.exe ()
O4:64bit: - HKLM..\Run: [TNOD UP] "C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i File not found
O2:64bit: - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: {c50ca3c4-5656-43c2-a061-13e717f73fc8}:3.0.8
 
:Files
C:\Users\BO\AppData\Local\Microsoft\Windows\4136
C:\Users\BO\AppData\Roaming\hellomoto
C:\Users\BO\AppData\Roaming\Mozilla\Firefox\Profiles\u7snpmaa.default\searchplugins\conduit.xml
C:\Users\BO\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: BitTorrentBar Toolbar, Conduit Engine, DAEMON Tools Toolbar, YouTube Downloader Toolbar v4.6.

- Otwórz Firefox i w Dodatkach odmontuj: BitTorrentBar Community Toolbar, Conduit Engine, YouTube Downloader Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Notuję szczątki po Kasperskym. Posłuż się firmowym usuwaczem Kaspersky Remover.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[terminator5000]

Wielkie dzięki, póki co jest ok, problem zniknął. Przetestuję jeszcze komputer. Proszę jeszcze o weryfikację czy wszystko jest ok.

Jeszcze jedno pytanko - jakiego atywirusa polecasz na dzisiejsze, tak ciężkie czasy , Kaspersky jest ok??

OTL.Txt

AdwCleanerS1.txt

OTL USUWANIE.txt

[picasso]

Przechodzimy już do mini poprawek i wykończeń:

 

1. Odinstaluj starego martwego cracka TNod User & Password Finder. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2169132624-182560560-4016814292-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
O3 - HKU\S-1-5-21-2169132624-182560560-4016814292-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Usuwacz Kasperskiego nie ruszył dowiązanych do Google Chrome wtyczek:

 

CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\12.0.0.374_0\plugin/npABPlugin.dll
CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\12.0.0.374_0\plugin/npVKPlugin.dll
CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.397_0\plugin/npUrlAdvisor.dll

 

By to wyciąć, należy zedytować plik Preferences Google Chrome prowadząc podobne działanie jak tutaj w punkcie 3: KLIK. Oczywiście bierz poprawkę na inne nazwy wtyczek. Po usunięciu z Preferences tych zapisów możesz z dysku skasować te foldery:

 

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

"C:\Soft win 7\OTL\ComboFix.exe" /uninstall

 

Gdy komenda ukończy: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

4. Aktualizacje do przeprowadzenia: KLIK. Z Twojej listy zainstalowanych o co konkretnie chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

5. Wymiana antywirusa:

 

 

Jeszcze jedno pytanko - jakiego atywirusa polecasz na dzisiejsze, tak ciężkie czasy , Kaspersky jest ok??

 

Obojętny, byle z wiodących marek. Czyli Kaspersky, Symantec, Avast i tak dalej = wszystko jest OK. I tu właśnie sprawa: w Twoim systemie jest kompletnie przestarzały Avast z roku 2009. Odinstaluj przez Panel sterowania, następnie z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem Avast Uninstall Utility. Po tym albo instalacja najnowszego Avast (bardzo się różni od tego co tu jest aktualnie), albo innego nowoczesnego antywirusa.

 

 

.

[terminator5000]

nie rozumiem tylko jednej rzeczy: " (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości):

 

 

{

"enabled": true,

"name": "vShare.tv plug-in",

"path": "C:\\Program Files (x86)\\Mozilla Firefox\\plugins\\npvsharetvplg.dll",

"version": "1.3.0.1"

},

"

tzn. mam zostawiać przy każdej wtyczce same nawiasy - {} i tyle ile jest wtyczek, czy usuwać całość wraz z nawiasami??

 

Zostało mi coś takiego:

"plugins": {

"enabled_internal_pdf3": true,

"enabled_nacl": true,

"last_internal_directory": "C:\\Program Files (x86)\\Google\\Chrome\\Application\\20.0.1132.57",

"plugins_list": [ {} ]

},

 

jest ok??

[picasso]

Każdy wpis wtyczki zaczyna się {, a zakańcza }. Wycinając odnośnik do danej wtyczki wycinasz blok przynależny do niej, włącznie z nawiasami obramowującymi wpis wtyczki.

 

 

.

[terminator5000]

Bardzo proszę o sprawdzenie logów czy wszystko zrobiłem ok i czy nie ma jeszcze jakichś problemów z systemem. Poniżej info z czyszczenia.

 

1 - ComboFix chciał przeskanować komputer podczas usuwania i nie wiem czy to ok, także przerwałem operację i dostałem komunikat, że odinstalowano;

2 - W tej kwestii miałem tylko dwa foldery o innych nazwach, ale też takie pokręcone:

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj

3 - Nie mam też pewności czy dobrze zrobiłem aktualizacje, m.in. Service Pack'a, IE7 oraz Adobe Shockwave Player;

4 - Również nie mam pewności co do usunięcia wtyczek, czy zrobiłem to tak jak należało

5 - Resztę wydaje mi się, że chyba zrobiłem dobrze.

 

Tak czy siak bardzo dziękuję za dotychczasową pomoc, jesteś mega niesamowita w tym co robisz i z największą przyjemnością wesprę Was dotacją.

[picasso]

1 - ComboFix chciał przeskanować komputer podczas usuwania i nie wiem czy to ok, także przerwałem operację i dostałem komunikat, że odinstalowano;

 

Proces deinstalacji ComboFix w początkowe fazie wygląda tak jak uruchomienie przez dwuklik.

 

 

2 - W tej kwestii miałem tylko dwa foldery o innych nazwach, ale też takie pokręcone:

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh

C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj

 

"Pokręcone" nazwy to klasyczna nomenklatura dla folderów rozszerzeń Google Chrome. Nie rozumiem do czego zmierzasz z "miałem tylko dwa foldery o innych nazwach" i mam nadzieję, że nic poza tym co podałam nie usuwałeś. Tutaj dla porównania pokazuję co było w logu z OTL:

 

CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\12.0.0.374_0\plugin/npABPlugin.dll
CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\12.0.0.374_0\plugin/npVKPlugin.dll
CHR - plugin: Kaspersky Anti-Virus (Enabled) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.397_0\plugin/npUrlAdvisor.dll
CHR - Extension: Awesome Screenshot: Capture & Annotate = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\alelhddbbhepgpmgidjdcjakblofbmce\3.3.6_0\
CHR - Extension: Adblock Plus (Beta) = C:\Users\BO\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.2_0\

 

Wszystkie ścieżki "pokręcone", ale tylko wskazywane trzy są od Kasperskiego.

 

 

3 - Nie mam też pewności czy dobrze zrobiłem aktualizacje, m.in. Service Pack'a, IE7 oraz Adobe Shockwave Player;

 

Wskazałam do aktualizacji konkretne programy, SP1 + IE9 były już w systemie:

 

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

 

 

4 - Również nie mam pewności co do usunięcia wtyczek, czy zrobiłem to tak jak należało

 

Dla świętego spokoju możesz zrobić nowe logi z OTL.

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso