Komputer został zablokowany

[dawcio123]

Witam,

 

mam laptopa system Windows Vista,który został zablokowany przez virusa "Polska Policja"

 

Logi zrobiłem tak jak wyczytałem w necie dalej nie mam pojęcia co robić.

 

Proszę o pomoc.

 

Extras-

http://wklej.org/id/934055/

 

OTL-

http://wklej.org/id/934058/

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Dawid\AppData\Roaming\skype.dat
C:\Users\Dawid\AppData\Roaming\skype.ini
C:\Users\Dawid\AppData\Roaming\rundll32.VIR
C:\Users\Dawid\AppData\Roaming\svchost.VIR
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"BrowserMngr Start Page"=-
"Default_Page_URL"=-
"Search Bar"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"BrowserMngrDefaultScope"=-
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=bandext_3312_3&babsrc=SP_ss&mntrId=729a132700000000000002004c4f4f50"
IE - HKCU\..\SearchScopes\{18B73431-2363-4337-82E5-DCB06575C8FF}: "URL" = "http://search.softonic.com/MON1204T22/tb_v1?q={searchTerms}&SearchSource=4&cc="
IE - HKCU\..\SearchScopes\{51160585-889C-4155-8818-27F06418E291}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=DVS2&o=1586&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^AAA&apn_dtid=^YYYYYY^YY^PL&apn_uid=433f94e9-38ee-4506-8137-c78b8e927781&apn_sauid=C9176A6F-D079-40FD-8278-A100A8654DE7"
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{9E5C5718-8AC3-4F70-BB47-48A413501253}?q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={05B32A35-3BDA-11E2-8B8F-001E33A418BE}"
IE - HKCU\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found
IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
IE - HKCU\..\URLSearchHook: {ab64cb5e-bb6c-4761-b0c5-fd51824f89c5} - No CLSID value found
IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found.
O2 - BHO: (no name) - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - No CLSID value found.
O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {AB64CB5E-BB6C-4761-B0C5-FD51824F89C5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O9 - Extra Button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - Reg Error: Key error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - [2012-04-12 17:21:14 | 000,104,752 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany. Opuść Tryb awaryjny.

 

2. W Firefox masa adware, ale Firefox stary. Jeśli chcesz zachować zakładki + hasła (i nic poza tym), skorzystaj z MozBackup. Następnie odinstaluj Firefox, a przy deinstalacji zatwierdź usuwanie plików użytkownika.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[dawcio123]

Wszystko już działa sprawnie.Wielkie dzięki za pomoc.

[picasso]

Ale to nie koniec! Wszystko trzeba sprawdzić, poprawić i sfinalizować prawidłowo temat. Prosiłam o dane:

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[dawcio123]

Mam tylko OTL , a z AdwCleaner,przypadkowo zamknąłem.

Oto OTL.

http://wklej.org/id/934262/

 

A jeszcze jedno,po ponownym uruchomieniu laptopa mam na pulpicie 2 pliki takie jak:

Desktop.ini

[picasso]

z AdwCleaner,przypadkowo zamknąłem

 

Log jest na dysku C.

 

 

A jeszcze jedno,po ponownym uruchomieniu laptopa mam na pulpicie 2 pliki takie jak:

Desktop.ini

 

Te pliki były od momentu instalacji Windows tylko ich nie widziałeś. Cytuję:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

I takich plików jest o wiele więcej w innych miejscach. Pełnią szczególną rolę: spolszczają nazwę katalogu (wyświetla się "Pulpit" zamiast "Desktop") + wyświetlają mu specjalną ikonkę.

 

 

 

.

[dawcio123]

Proszę bardzo o to Log

http://wklej.org/id/934282/

A jak tych 2 plików się pozbyć z pulpitu ? Da się?

[picasso]

A jak tych 2 plików się pozbyć z pulpitu ? Da się?

 

Wczytaj się dokładnie w cytat powyżej. Te pliki są systemowe, mają być, nie wolno ich usuwać, a za ich niewidzialność odpowiada opcja "Ukryj chronione pliki systemu operacyjnego". Jak mówię, skan OTL przestawia widoczność plików. Jest to tymczasowe.

 

 

# Ścieżka : H:\adwcleaner_www.INSTALKI.pl.exe

 

Podałam wyraźnie skąd pobiera się program = z autoryzowanych linków, a nie z Instalek. Instalki to serwis wtórny a nie strona domowa, nie gwarantuje najnowszej wersji.

 

 

1. W ogóle nie wykonałeś tego:

 

2. W Firefox masa adware, ale Firefox stary. Jeśli chcesz zachować zakładki + hasła (i nic poza tym), skorzystaj z MozBackup. Następnie odinstaluj Firefox, a przy deinstalacji zatwierdź usuwanie plików użytkownika.

 

AdwCleaner nie miałby nic do roboty w Firefox. Zadanie nadal aktualne, bo to stary dziurawy Firefox i nadal zanieczyszczony adware (AdwCleaner nie dał rady). Wykonaj co mówię, a szczątki po Firefox dokończy punkt 3.

 

2. W Google Chrome również nadal adware:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.babylon.com/?affID=113480&tt=bandext_3312_5&babsrc=HP_ss&mntrId=729a132700000000000002004c4f4f50"
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
CHR - homepage: "http://home.sweetim.com/?st=6&barid={05B32A35-3BDA-11E2-8B8F-001E33A418BE}"

 

Wejdź do ustawień. W sekcji "Po uruchomieniu" usuń zakreślone powyżej strony startowe Babylon i SweetIM. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną. Wyczyść Historię.

 

3. Inne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Files
C:\Users\Dawid\AppData\Roaming\mozilla
C:\Program Files\mozilla firefox
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Edytowane 23 Lutego 2013 przez picasso
23.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso