piotrlaz Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam! Mam następujący problem: kilka minut po uruchomieniu komputera i przeglądarki Firefox, na ekranie wyświetlił mi się komunikat: "Komputer został zablokowany z powodu naruszenia prawa polskiego". Dalej proponują mi zapłacenie grzywny 300zł za pomocą kuponu Ukash. Nie podejmowałem żadnych prób naprawienia tylko włączyłem tryb awaryjny z obsługą sieci. Zgodnie z instrukcją załączam pliki OLT oraz Extras. Proszę o pomoc. Poniżej wynik SecurityCheck: Results of screen317's Security Check version 0.99.43 Windows 7 Service Pack 1 x64 (UAC is disabled!) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Driver Cleaner 3 Java™ 6 Update 31 Java version out of Date! Adobe Reader X (10.1.3) Mozilla Firefox (14.0.1) Mozilla Thunderbird (14.0.) Google Chrome 20.0.1132.47 Google Chrome 20.0.1132.57 ````````Process Check: objlist.exe by Laurent```````` CheckPoint ZoneAlarm vsmon.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Ta infekcja jednak została czymś naruszona, wpis startowy jest wyszczerbiony. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [taskbarcpl] C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862\taskbarcpl.exe File not found IE - HKU\S-1-5-21-4117891386-3435434258-2628279634-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112542&tt=190712_n_mont_2912_3&babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf&tlver=1.5.29.1&instlRef=sst&babTrack&q=" :Files C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 C:\Users\Piotr\AppData\Roaming\hellomoto C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\user.js C:\Windows\Tasks\{*}.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, w Firefox w Dodatkach powtórz usuwanie tego samego. Zaś w Google Chrome przestaw stronę startową. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
piotrlaz Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Dziękuję, oto wyniki moich działań: 1. Log OTL z usuwania (wklejam bo nie daje się załączyć): All processes killed ========== OTL ========== 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\taskbarcpl deleted successfully. Registry key HKEY_USERS\S-1-5-21-4117891386-3435434258-2628279634-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Prefs.js: "http://search.babylon.com/?babsrc=SP_ss&mntrId=90d04b2800000000000040618697dacf&tlver=1.5.29.1&instlRef=sst&babTrack&q=" removed from keyword.URL ========== FILES ========== C:\Users\Piotr\AppData\Local\Microsoft\Windows\4862 folder moved successfully. C:\Users\Piotr\AppData\Roaming\hellomoto folder moved successfully. C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml moved successfully. C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml moved successfully. C:\user.js moved successfully. C:\Windows\Tasks\{6EAA0712-3D4C-47B3-A800-CF0F5AC2A98D}.job moved successfully. C:\Windows\Tasks\{81E51B78-4BC8-491B-868B-E28429A29C1A}.job moved successfully. C:\Windows\Tasks\{A3E496CA-7A86-436F-92D4-3D1FC0D705F1}.job moved successfully. C:\Windows\Tasks\{D8B6FAB5-CAC2-4111-A67F-4E9C63EA4472}.job moved successfully. C:\Windows\Tasks\{DA4E311A-229F-4DAA-804E-622E00EC9FC6}.job moved successfully. C:\Windows\Tasks\{F04ED52A-E6B2-48DD-9024-A8F0E4A74D38}.job moved successfully. C:\Windows\Tasks\{F3E96F93-EC86-4E48-9209-E3E61F187C86}.job moved successfully. ========== REGISTRY ========== HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 56466 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Piotr ->Temp folder emptied: 52780824 bytes ->Temporary Internet Files folder emptied: 5310773 bytes ->Java cache emptied: 18694083 bytes ->FireFox cache emptied: 133599178 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 602 bytes User: Public User: UpdatusUser ->Temp folder emptied: 1120616 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 121423451 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 26199264 bytes Total Files Cleaned = 343,00 mb OTL by OldTimer - Version 3.2.54.1 log created on 07262012_071719 Files\Folders moved on Reboot... C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. File\Folder C:\Windows\temp\ZLT07c92.TMP not found! PendingFileRenameOperations files... File C:\Users\Piotr\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Windows\temp\ZLT07c92.TMP not found! Registry entries deleted on Reboot... 2. W załączeniu log AdwCleaner i ostatni log OTL AdwCleanerS2.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Plik nie chciał się załączyć, bo załączniki akceptują tylko rozszerzenie *.TXT a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Wszystko zrobione i kończymy: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. W systemie obecna 32-bitowa Java 6 Update 31, zaktualizuj ją: KLIK. PS. W systemie jest zainstalowany obiekt Sunrise Seven 1.1.54. Program ten udostępnia zabójczą opcję czyszczenia FileRepository. Nie rób tego. Akcja czyni szkody w systemie, pojawiają się skutki uboczne w postaci problemów z aktualizacjami i instalacjami sterowników do nowo podpinanych urządzeń. EDIT: Zagadnienie błędu Przywracania systemu wydzielone w osobny temat: KLIK. Tutaj zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi