"Komputer został zablokowany z powodu naruszenia prawa polskiego"

[gesio]

Witam, z tego co zauważyłem, to ten wirus jest popularny w internecie, więc proszę o pomoc.

Wpadłem dzisiaj i chcialbym sie tego pozbyc jak najszybciej

 

Prosiłbym tylko o dokładne wytłumaczenie jak pozbyć się tego wirusa raz na zawsze.

 

problem mam dodatkowo taki ze uruchamiam kompa poprzez trybawaryjny z dostepem do internetu i nic nie moge zrobic nadal bo pokazuje mi sie na ekranie cale info o tym wirusie, nic nie moge zrobic, pomóżcie.

[Landuss]

To dziwne bo w trybie awaryjnym nie ma blokady tego wirusa. Spróbuj uruchomić Tryb awaryjny z obsługą Wiersza polecenia.

[gesio]

a co dalej w wierszu polecenia zrobic? bo niebardzo wiem ;/

[picasso]

Nasuwa się podejrzenie, że masz jeden z nowszych wariantów infekcji, uruchamiany przez wartość Shell (powłoka graficzna), dlatego Tryb awaryjny z Wierszem polecenia (nie ładuje powłoki graficznej) jest tu wyborem. W Wierszu polecenia należy uruchomić OTL, w celu zrobienia logów. OTL oczywiście musi być dostępny, czyli już na dysku twardym lub podpinasz pendrive z OTL, i wpisujesz w linii komend "pełna ścieżka dostępu do OTL.exe" i ENTER.

 

 

 

.

[gesio]

ale OTL otwieram poprzez notepad? bo tak juz mi ktos radzil i nie wiem...

 

jestem lajkiem w te klocki a wiec prosilbym o dokladne info

[picasso]

Nie, przecież mówię:

 

wpisujesz w linii komend "pełna ścieżka dostępu do OTL.exe" i ENTER

 

A przez notepad to chyba mylisz sobie z instrukcją tworzenia loga z całkiem innego narzędzia, czyli FRST. W tamtej instrukcji notepad służy do podglądu mapowania dysków...

 

 

.

[gesio]

oto moje Logi z OTLa

 

prosiłbym o pomoc ...

OTL.Txt

[picasso]

To nie jest cały log, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Prócz Ukash jest tu też infekcja ZeroAccess...

 

1. W linii poleceń Trybu awaryjnego wpisz C:\Windows\regedit.exe i ENTER. W edytorze rejestru z prawokliku skasuj ten klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}
C:\Users\Mateusz\AppData\Local\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}
C:\Users\Mateusz\AppData\Roaming\msconfig.dat
C:\Users\Mateusz\AppData\Roaming\msconfig.ini
C:\Users\Mateusz\AppData\Local\Temp*.html
C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\ye71ryni.default\searchplugins\askcom.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D37D07FF-7764-4592-993C-3970AA5A9850}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie i już działasz w Trybie normalnym Windows:

 

3. Przez Panel sterowania odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, Winamp Toolbar.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) + Farbar Service Scanner. Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[gesio]

zrobic to EXTRAS ? czy wklejac tak jak mi zrobiles?

[picasso]

Apropos "zrobiłeś" = jestem kobietą. I wyraźnie masz podaną kolejność działań. Log Extras robisz w punkcie 5...

[gesio]

logi z OTLa oraz z adwcleaner

 

z góry dziekuje za pomoc w mojej sprawie.

OTL.txt

Extras.txt

AdwCleanerS1.txt

[picasso]

Nie wszystko zostało wykonane. Na dysku nadal jest jeden z folderów ZeroAccess, ujawniły się też kolejne obiekty.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}
C:\Users\Mateusz\AppData\Roaming\Asrea
C:\Users\Mateusz\AppData\Roaming\Biqi
C:\Users\Mateusz\AppData\Roaming\Buins
C:\Users\Mateusz\AppData\Roaming\Guigvi
C:\Users\Mateusz\AppData\Roaming\Hudi
C:\Users\Mateusz\AppData\Roaming\Idcayf
C:\Users\Mateusz\AppData\Roaming\Iga
C:\Users\Mateusz\AppData\Roaming\Lyxau
C:\Users\Mateusz\AppData\Roaming\Orum
C:\Users\Mateusz\AppData\Roaming\Ovbey
C:\Users\Mateusz\AppData\Roaming\Owydygl
C:\Users\Mateusz\AppData\Roaming\PowerMgr
C:\Users\Mateusz\AppData\Roaming\Suefd
C:\Users\Mateusz\AppData\Roaming\Tec
C:\Users\Mateusz\AppData\Roaming\Toano
C:\Users\Mateusz\AppData\Roaming\Ula
C:\Users\Mateusz\AppData\Roaming\2mgydwucphakhlfboj31gqqisbdjyyn2
C:\Users\Mateusz\AppData\Roaming\gpgr3tuw1rovvohgtuqjtorh1zfyky12
C:\Users\Mateusz\AppData\Roaming\izohmlqfrwcfhnyxipob3zkymdjjxiu2
C:\Users\Mateusz\AppData\Roaming\rgf1wupptrh1ykjggijlx3nhuhpdz2u2
C:\Users\Mateusz\AppData\Roaming\x1dwjzx3fmlmdcgdhxqjsxix1gfb3brv2
C:\Users\Mateusz\AppData\Roaming\x1yemjmbittvo2coy3zojbuyvapnltht2
C:\Users\Mateusz\AppData\Roaming\x2b1eeaesxnwodreitmco1kpxykkcr3k2
C:\Users\Mateusz\AppData\Roaming\x2o2fjssmq3egrgugxqthlcpgqv1ekbn2
C:\Users\Mateusz\AppData\Roaming\x2ufjokqsiq2tpmyogd2uxkfzsmgr2zh2
C:\Users\Mateusz\AppData\Roaming\x3cwpffxzjbnvaypgez1tmrpm3ai2bjj
C:\Users\Mateusz\AppData\Roaming\xaclexlhwwuvhwj3zy3uaibffglnnprj2
C:\Users\Mateusz\AppData\Roaming\xbgxjmkogz1bghgpbxi33o1kxzxklny32
C:\Users\Mateusz\AppData\Roaming\xcecxjnwmy3nxujnegmqsaxvgofyvxp12
C:\Users\Mateusz\AppData\Roaming\xdrqlvxhdafqncpihojfcrttganpthfn2
C:\Users\Mateusz\AppData\Roaming\xdw2cocxaumx3dupojrvrpvqnvpf1zlm2
C:\Users\Mateusz\AppData\Roaming\xflu3ewb2zagfms2lwv2xarjezuhwrfq2
C:\Users\Mateusz\AppData\Roaming\xfvxficauni3ynztxcoszta2vglljlmg2
C:\Users\Mateusz\AppData\Roaming\xgclxnyhlljrasqajg3yruenbjbfcizh2
C:\Users\Mateusz\AppData\Roaming\xgpekyqof32yyixcabt1f3oe2warizfu2
C:\Users\Mateusz\AppData\Roaming\xgtezdd1idbzruhl3fzixe3udvqdutag2
C:\Users\Mateusz\AppData\Roaming\xgztwcsoabsu312iemlrsdsntiutriht2
C:\Users\Mateusz\AppData\Roaming\xhgqcwry33tqxjrmfrocm1ebmhmkrk1q2
C:\Users\Mateusz\AppData\Roaming\xi3e22cbn2sqv3qggnuloz3lxw3tn2k32
C:\Users\Mateusz\AppData\Roaming\xiljkjxfzgtpuntwhfuy3uazouimuyjq2
C:\Users\Mateusz\AppData\Roaming\xitc3k2rfjmvwagkglhrdqnbuhikslma2
C:\Users\Mateusz\AppData\Roaming\xjdnengwrnpkcslapp2gtooixfvkuxbk2
C:\Users\Mateusz\AppData\Roaming\xjfi1ua3emjupc2fvobu1uuf2uvw1jzk2
C:\Users\Mateusz\AppData\Roaming\xlntmhwbyml2bjqahvsocfvyesyaw1au2
C:\Users\Mateusz\AppData\Roaming\xlsnisiryfnwsng113vd1azelzrryvev2
C:\Users\Mateusz\AppData\Roaming\xoelrmtooatddryaxjnssfxugebxzngc2
C:\Users\Mateusz\AppData\Roaming\xrbyfjfenbuunauuuahoeltufmjmvdqy2
C:\Users\Mateusz\AppData\Roaming\xrcedrffyfskhwrbehvxhxppeuer1rd12
C:\Users\Mateusz\AppData\Roaming\xrhhkutjlsvrnvtrunrxfnk32xah2jsy2
C:\Users\Mateusz\AppData\Roaming\xrhj1d2gc2jlj21nkm3tzoyuacdvydza2
C:\Users\Mateusz\AppData\Roaming\xroszfnegqjeq2qfwwvajqonsujkb2m12
C:\Users\Mateusz\AppData\Roaming\xt3pfspxssoeudaor3nacejwybwgeoj12
C:\Users\Mateusz\AppData\Roaming\xtcfd2oeumpnkomm11abj2voeaqrpzxj2
C:\Users\Mateusz\AppData\Roaming\xugyhipz2upkul1i1nckk2awczvjvo2h2
C:\Users\Mateusz\AppData\Roaming\xwngtcoc2cc33jtfneqpe2etwnmwbkb32
C:\Users\Mateusz\AppData\Roaming\xx2ey11tp3mbtqjqxfeafrswp22mrg2u2
C:\Users\Mateusz\AppData\Roaming\xxgtozctrbuasuslqvsncame1bharxto2
C:\Users\Mateusz\AppData\Roaming\xxtlfrdkxh2vilp2bbqqefvruxqrwnrz2
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Nowy skan z OTL nie jest potrzebny. Przedstaw tylko log z wynikami usuwania OTL z punktu 1. Log ten będzie nagrany w katalogu H:\_OTL.

 

 

 

 

[gesio]

oto log... http://wklej.to/Z7LZE

wszystko dobrze? tak jak powinno byc?

[picasso]

Jest tu problem z usunięciem tego katalogu, po raz drugi:

 

========== FILES ==========
C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}\U folder moved successfully.
Folder move failed. C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1} scheduled to be moved on reboot.

 

1. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}

 

Klik w Unlock.

 

2. Spróbuj przez SHIFT+DEL skasować z dysku katalog C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}.

 

 

 

.

[gesio]

Jestem na C:\Windows ale nie widze nigdzie Installer ...?

[picasso]

Należy mieć prawidłowo ustawione opcje widokowe, by to widzieć: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

 

 

.

[gesio]

nie moge usunac gdyz mam cos takiego, i mimo klikania to pojawia sie na nowo...

[picasso]

Podaj mi skan na wersje systemowego pliku services.exe, być może tu były aż dwa warianty ZeroAccess skombinowane ze sobą. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy log. Krótki = wklej wprost do posta.

 

 

.

 

 

[gesio]

Log ...

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:57 on 24/09/2012 by Mateusz

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[picasso]

Plik systemowy services.exe wygląda na zainfekowany. Ma lock (SystemLook nie był zdolny obliczyć sumy kontrolnej).

 

1. Wejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\System32\services.exe

 

Klik w Unlock.

 

2. Start > w polu szukania wpisz cmd > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by dokończyć leczenie pliku.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\Installer\{9419c80a-8d07-0e3c-6be6-3e5593c297e1}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Pokaż log z wynikami usuwania OTL + zrób nowy log SystemLook na te same warunki co podałam wcześniej. I zapomniałeś mi wcześniej dostarczyć log z Farbar Service Scanner.

 

 

 

.

[gesio]

SystemLook 30.07.11 by jpshortstuff

Log created at 00:20 on 25/09/2012 by Mateusz

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

otl.txt

[picasso]

Plik wyleczony, folder ZeroAccess usunięty. Ale to nie koniec. Konsekwentnie brakuje raportu z Farbar Service Scanner (prosiłam o niego już dwa razy). Raport ten jest niezbędny, by stwierdzić ile usług Windows trojan ZeroAccess skasował z rejestru. Robota jeszcze przed nami...

 

 

 

.

[gesio]

o tym mowa...?

[picasso]

Nie, to OTL, usuwam te wadliwe załączniki. Przecież mówię wyraźnie: chodzi o program Farbar Service Scanner. Jest tam w temacie, w pierwszym poście w sekcji "Diagnostyka dodatkowa - Tylko na prośbę moderatora" kliknij w link ...

[gesio]

Log FSS

FSS.txt