Computeren er blevet blokeret co overtræde lovgivningen i Danmark

[eperdian]

Witam,

jak widać w temacie mam problem z zablokowanym laptopem kolegi. Próbowałam usunąć przy pomocy różnych polecanych narzędzi. Niestety znika tylko na kilkadziesiąt sekund. Bardzo zależy mi na waszej pomocy. Skorzystałam z OTL. W systemie jest tylko jeden użytkownik (standard Administrator).

Extras.Txt

OTL.Txt

[picasso]

Od razu będę załatwię też szczątki po Firefox (wygląda na odinstalowany).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-4127156324-3568525797-864868062-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=109805&tt=060612_6_&babsrc=SP_ss&mntrId=8c42937600000000000000235442b0c0"
IE - HKU\S-1-5-21-4127156324-3568525797-864868062-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
O3 - HKU\S-1-5-21-4127156324-3568525797-864868062-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-4127156324-3568525797-864868062-1000..\Run: [WinSATAPI] C:\Users\standard\AppData\Local\Microsoft\Windows\4526\WinSATAPI.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Files
C:\Users\standard\AppData\Local\Microsoft\Windows\4526
C:\Users\standard\AppData\Roaming\hellomoto
C:\Users\standard\AppData\Local\Temp*.html
C:\Users\standard\wevtapi.dll
C:\Users\standard\taskmgr.exe
C:\Users\standard\AppData\Roaming\mozilla
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolejne działania już w Trybie normalnym:

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, BabylonObjectInstaller, free-downloads.net Toolbar, uTorrentBar Toolbar. Od razu pozbądź się też przestarzałego on-line mks_vir oraz zbędnego McAfee Security Scan Plus i GeekBuddy od COMODO.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[eperdian]

Dzięki przeogromne!!!!

Komputer odblokowany. Odinstalowałam to co kazałeś. Czy mam pobrać AdwCleaner czy przeskanować Malwarebytes Anti-Malware? I co zrobić z tymi nowymi logami?

[picasso]

Apropos "kazałeś" = jestem kobietą. Dostałaś konkretne polecenia i nie wybiegaj do przodu. Miałaś wykonać wszystkie punkty jak rozpisałam, odinstalować adware, następnie uruchomić AdwCleaner i podać log który utworzy oraz zrobić nowy log z OTL ... Jak to co zrobić z tymi "nowymi logami"? Pokazać tu!

 

 

.

[eperdian]

Przepraszam, też jestem kobietą... już się zabieram

 

A oto pliki

AdwCleanerS1.txt

OTL.Txt

[picasso]

eperdian, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie jeden pod drugim. Posty powyżej skleiłam.

 

Zadania pomyślnie wykonane, zostały poprawki i wykończenia. Pojawiło się nowe adware v9 (przejęło konfigurację Internet Explorer), wygląda na to, że z tego instalatora:

 

[2012-10-19 21:18:39 | 001,283,008 | ---- | M] (elex) -- C:\Users\standard\Desktop\v9idg.exe
[2012-10-19 21:18:40 | 000,538,941 | ---- | C] () -- C:\Users\standard\Desktop\adwcleaner.exe
[2012-10-19 21:18:16 | 002,111,088 | ---- | C] () -- C:\Users\standard\Desktop\adwcleaner_idg_downloader_54617_pc.exe

 

Przy okazji: podałam link do oryginalnej strony domowej AdwCleaner, dlaczego został on pobrany z serwisu pośredniego IDG? Instalatory IDG mają śmieci ...

 

---

Kolejna porcja czynności do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}]
 
[-HKEY_CURRENT_USER\Sotware\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Na liście zainstalowanych programów wyszukaj pozycję pasującą do adware v9. Może to występować pod różnymi nazwami (w zależności od języka instalatora), np. Deinstalator strony v9 czy V9 HomeTool.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Możesz też skasować te foldery odpadkowe po COMODO:

 

[2012-10-19 11:56:04 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\COMODO
[2012-10-19 11:51:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Comodo
[2012-10-19 11:51:57 | 000,000,000 | ---D | C] -- C:\Program Files\COMODO
[2012-10-19 11:51:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Comodo Downloader

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Na wszelki wypadek zrób jeszcze ten skan w Malwarebytes Anti-Malware, o którym mówiłaś. Jeśli coś zostanie wykryte, zaprezentuj log z narzędzia.

 

 

 

.

[eperdian]

Wszystko jest OK!

Jeszcze raz wielkie dzięki.

[picasso]

Na zakończenie:

 

1. W Dzienniku zdarzeń jest bląd WMI numer 10. Instrukcje naprawcze: KB950375.

 

2. Zaktualizuj produkty Adobe: KLIK. Twój log mówi, że masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

 

W skrócie: odinstaluj wszystkie te pozycje, zainstaluj najnowszy Adobe Reader, zaś Adobe Flash nie musisz instalować, jeśli jedyna używana przeglądarka to Google Chrome (ma wbudowany własny Flash).

 

PS. Widzę zainstalowane Gadu-Gadu 10. Program zasobożerny. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.