"Policja" zablokowała komputer

[artuditu7]

Witam,

Temat chyba dobrze już znany moderatorom. Po włączeniu komputera podłączenego do interentu wyświetla się komunikat o zablokowaniu komputera przez policję i konieczności uiszczenia opłaty za odblokowanie go. Prosiłbym bardzo o pomoc.

Raczej nie jestem zaawansowanym użytkownikiem komputera, więc prosiłbym o "łopatologiczne" tłumaczenie

 

Załączam raporty (mam nadzieję, że to wszystkie)

Extras.Txt

OTL.Txt

GMER.txt

[picasso]

Masz złą datę systemową, cofnięcie o 10 lat do tyłu:

 

OTL logfile created on: 2002-01-01 00:34:17 - Run 1

 

1. Skorygują datę systemową.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\AD\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\AD\Ustawienia lokalne\Temp\wgsdgsdgdsgsd.exe
C:\Documents and Settings\AD\Dane aplikacji\FunWebProducts
C:\Documents and Settings\AD\Dane aplikacji\OpenCandy
C:\Documents and Settings\AD\Ustawienia lokalne\Dane aplikacji\SpeedUpMyPC
C:\Documents and Settings\AD\Ustawienia lokalne\Dane aplikacji\Przyspiesz_Komputer
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\extensions\radiobar@toolbar
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\extensions\toolbar@ask.com
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\extensions\vshare@toolbar
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\searchplugins\mywebsearch.xml
C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\searchplugins\askcom.xml
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
C:\Documents and Settings\All Users\Dane aplikacji\Wru
C:\Program Files\v9Soft
C:\WINDOWS\System32\tmp*.FOT
C:\WINDOWS\_000000_.cat
C:\WINDOWS\System32\drivers\sfi.dat
C:\WINDOWS\System32\drivers\GRD.sys
C:\WINDOWS\System32\drivers\MiniIcpt.sys
C:\WINDOWS\System32\drivers\GDTdiIcpt.sys
C:\WINDOWS\System32\drivers\GDNdisIc.sys
C:\WINDOWS\System32\drivers\GDBehave.sys
C:\Program Files\Common Files\G DATA
C:\Documents and Settings\All Users\Dane aplikacji\G DATA
C:\Documents and Settings\AD\Dane aplikacji\Comodo
C:\Documents and Settings\All Users\Dane aplikacji\Symantec
C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller
C:\FOUND.*
netsh firewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=1_Gl1tJE2tFef_u1v.8sjA&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=sb&searchfor={searchTerms}&n=77ce5d52"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120211202712171&tb_oid=10-10-1010&tb_mrud=11-02-2012"
IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66008"
IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=1_Gl1tJE2tFef_u1v.8sjA&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=sb&searchfor={searchTerms}&n=77ce5d52"
IE - HKCU\..\SearchScopes\{A0CF2D16-C093-41B2-B14E-66B3D4B5174B}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=29D37048-AB39-43E9-B389-B30D85E7DB76&apn_sauid=ED0C41AC-AF26-4977-934E-AF6A66000D31"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120211202712171&tb_oid=10-10-1010&tb_mrud=11-02-2012"
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Web Player\npdivx32.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Program Files\DivX\DivX Content Uploader\npUpload.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Kalendarz XP.lnk =  File not found
O8 - Extra context menu item: &Search - "http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000" File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Windows Media Player\WMPNetwk.exe -- (WMPNetworkSvc)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\GameMon.des -- (npggsvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\F6D.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

3. Przez Panel sterowania odinstaluj adware 100% Free Chess Toolbar, Ask Toolbar, LiveVDO plugin 1.3, vShare.tv plugin 1.3. Winamp Toolbar, Winamp Toolbar for Firefox. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację vshare plugin, LiveVDO.

 

4. Zresetuj preferencje Firefox. Zamknij przeglądarkę (nie może być uruchomiona). Przenieś na Pulpit ten plik:

 

C:\Documents and Settings\AD\Dane aplikacji\Mozilla\Firefox\Profiles\scoe8a4g.default\prefs.js

 

Uruchom Firefox (stworzy nowy czysty prefs.js) i ustaw w nim takie rzeczy jak strona domowa, bo po w/w resecie wszystkie opcje będą na poziomie domyślnym.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Dołącz log utworzony przez AdwCleaner. Zrób nowe logi:

- OTL z opcji Skanuj (już bez Extras), zaznacz Pomiń pliki Microsoftu.

- Niepokojące wpisy w GMER, podaj więc skan w Kaspersky TDSSKiller, a jeśli coś wykryje, ustaw tylko Skip i log zaprezentuj (na dysku C powstanie)

 

Logi mają być zrobione z właściwą datą a nie 10 lat do tyłu.

 

 

 

.

[artuditu7]

W Chroomie żadnych rozszerzeń nie było.

Kaspersky nic nie wykrył.

Loga już z właściwą datą

OTL.Txt

AdwCleanerS1.txt

[picasso]

Wprawdzie są znaki wykonania skryptu, ale ... infekcja nadal jest. Wnioski: albo podczas przetwarzania skryptu coś się nie wykonało, albo ponownie to złapałeś odwiedzając ten sam wadliwy URL.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\AD\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{6F4F95AF-1647-4B72-A632-055405455423}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome są nadal wtyczki LiveVDO:

 

========== Chrome  ==========
 
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\AD\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = E:\Mozilla\plugins\npvsharetvplg.dll

 

Skopiuj na Pulpit plik C:\Documents and Settings\AD\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences. Shostuj gdzieś i podaj link do niego. Zedytują go i odeślę, byś wstawił na miejsce.

 

Poproszę oczywiście o nowy skan OTL, ale dopiero po operacji z Google Chrome.

 

 

 

 

.

[artuditu7]

W ogóle internetu nawet nie podłączałem. Mogę już bez obaw z niego korzystać?

I czy nie wystarczy usunąć chrooma?

Zaraz podziałam ze skryptem i prześlę logi.

[picasso]

W ogóle internetu nawet nie podłączałem. Mogę już bez obaw z niego korzystać?

 

Nie wiadomo czy ostatni skrypt się wykonał. To dopiero potwierdzę w nowym skanie.

 

 

I czy nie wystarczy usunąć chrooma?

 

Oczywiście można, to nawet lepiej, nie wiedziałam czy to możliwe. Czyli: odinstaluj Google Chrome, przy deinstalacji zaznacz usuwanie plików użytkownika, dopiero po tym zrób nowy log OTL.

 

 

 

.

[artuditu7]

Chrome usunąłem. Zeskanowałem jeszcze raz i dalej te same wpisy były. Pogrzebałem po plikach i teraz już ich nie ma, mam nadzieję, że wszystko gra.

OTL.Txt

[picasso]

Wszystko pomyślnie wykonane. Przejdź do tej części zadań:

 

1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, plik prefs.js na Pulpicie już do kosza.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

.

[artuditu7]

Czy zaważy na całej pracy, jeśli najpierw wyczyściłem foldery przywracania a potem zrobiłem sprzątanie OTL?

Pełne skanowanie na wszystkich dyskach, czy tylko C?

[picasso]

Kolejność ma znaczenie, bo Przywracanie systemu robi kopię plików z miejsc, w których OTL tworzy składniki. Dlatego też ponowisz czyszczenie folderów Przywracania systemu w późniejszej fazie, już po skanie. Pełne skanowanie wszystkiego.

 

 

.

[artuditu7]

Log ze skanowania.

Widzę tam plik, który mam również na pendrive.

mbam-log-2012-11-16 (15-21-44).txt

[picasso]

1. Wyniki MBAM: Usuń wszystko z wyjątkiem PMSDVIEW.EXE + MinecraftSP.exe (to mi wygląda na fałszywe alarmy). Po operacji ponów czyszczenie folderów Przywracania systemu.

 

2. Ważne aktualizacje: KLIK. Wg Twojego raportu krytyczny poziom aktualizacji Windows (i system odcięty od aktualizacji, tylko XP SP3 ma wsparcie) oraz zainstalowane wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Czyli: zainstaluj SP3 i resztę łat dla XP (tego będzie masa, SP3 wydany ... w roku 2008), zainstaluj SP dla Office, odinstaluj wszystkie zakreślone pozycje Adobe / Java i zastąp najnowszymi wersjami, zaktualizuj Firefox i Skype.

 

3. Nie posiadasz też żadnego oprogramowania zabezpieczającego. Może darmowe antywirusy w chmurze: Kingsoft Antivirus, Panda Cloud Antivirus?

 

 

PS. Widzę Gadu-Gadu 10. Straszny potworek, je zasoby, a poza tym Gadu i tak wyłączyło część serwisów ostatnio i pewne rzeczy w tej wersji są martwe. Oglądnij GG11 (jest ciut lepsze) oraz alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[artuditu7]

Mam instalować SP3, czyli mogę korzystać już bez obaw z internetu?

[picasso]

Tak, możesz już się podłączać.