Komputer został zablokowany z powodu naruszenia prawa polskiego

[Kamil12]

Witam. Tak jak w temacie mialem zablokowany komputer przez to dziadostwo. Ucze sie informatyki, wiec pierwsze co zrobilem uruchomilem tryb awaryjny i combofix. Udalo sie nie ma juz blokady, ale chcialbym aby ktos sprawdzil loga z combofixa i powiedzial czy mam cos zrobic-poprawic. Zalaczam loga i prosze o odpowiedz.

 

 

ComboFix.txt

[picasso]

Ucze sie informatyki, wiec pierwsze co zrobilem uruchomilem tryb awaryjny i combofix.

 

Na temat użytkowania ComboFix: KLIK. Sprawę dało się rozwiązać bez ComboFix.

 

I poproszę o obowiązkowe w tym dziale logi z OTL. Na dysku powinien być jeszcze jeden plik po tej infekcji (msconfig.ini), którego ComboFix nie kasował, a jego log też go nie pokazuje (logi ComboFix są filtrowane wg nieco innych parametrów niż np. logi OTL).

 

 

 

.

[Kamil12]

To ten plik mscconfig.ini tez wrzucic?

[picasso]

Kamil12, poprosiłam o logi z OTL. Logi te mają inny charakter niż raport z ComboFix i widać tam więcej danych.

[Kamil12]

Proszę bardzo.

Extras.Txt

OTL.Txt

[picasso]

Wspominany przeze mnie plik jest na dysku:

 

[2012-09-26 17:43:34 | 000,000,045 | ---- | C] () -- C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini

 

Na dodatek, ComboFix wcale nie usunął prawidłowo głównego wpisu infekcji (tylko plik wywalał, ale nie skorygował rejestru):

 

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.dat) -  File not found

 

Poza tym, do wyczyszczenia inne obiekty infekcji, adware (śmieci wprowadzone przez wtyczkę vShare = tak, vShare robi bajzel w systemie) oraz wpisy puste. Czyli akcja:

 

1. Przez Panel sterowania odinstaluj vShare.tv plugin 1.3.

 

2. Zamknij Firefox (nie może być uruchomiony w procesach). Zresetuj radykalnie plik preferencji (w którym zresztą są martwe preferencje ze starszych wersji FF) poprzez wyizolowanie na Pulpit poniższego pliku:

 

C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\prefs.js

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Kamil\Dane aplikacji\msconfig.ini
C:\Documents and Settings\Kamil\Dane aplikacji\wyUpdate AU
C:\Documents and Settings\Kamil\wc
C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\e8lv1jmm.default\searchplugins\startsear.xml
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{57A2BF33-284A-4BDD-8619-B95ED32C85CC}"
 
:OTL
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=66e9b992-3a37-11e1-887a-00138f4003a1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0BC50E57-6E9F-4F2C-A93E-1F8889C2A8DC}: "URL" = "http://search.avg.com/route/?d=4da45d6c&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={5F025306-8725-4447-BD87-99A0CF61A499}&mid=400444565b1d47d6a00bd15ac9a4ea52-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2012-09-27 15:38:38&v=13.1.0.1&sap=dsp&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKCU..\Run: [blazeServoTool] "C:\Program Files\BlazeVideo\BlazeDTV 6.0\MediaDetector.exe" File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva389.sys -- (XDva389)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\ctdvda2k.sys -- (ctdvda2k)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.PRV\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

 

 

[Kamil12]

Proszę log z OTL.

A ten plik pref.js kasowć czy cos innego z nim robić?

OTL.Txt

[picasso]

Plik prefs.js będzie do usunięcia. Jego przeniesienie na Pulpit zamiast natychmiastowej kasacji to tylko asekuracja. Zadania pomyślnie wykonane, zmierzamy ku końcowi:

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.

 

Klik w Wykonaj skrypt.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

G:\Download\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

3. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

[Kamil12]

Jeszcze cos takiego wykryło.

mbam-log-2012-09-27 (17-27-06).txt

[picasso]

1. Wyniki MBAM: to są szczątki po vShare. Do usunięcia.

 

2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish
"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana, do sprawdzenia
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player

 

PS. Gadu-Gadu 10 też sugeruję wymienić lżejszym dla systemu programem z obsługą sieci Gadu. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[Kamil12]

Super, bardzo fajna i szybka pomoc. Wielkie dzięki.