UKASH- komputer firmowy zablokowany prośba o szybką pomoc.

[lordman]

Witam jestem nowy na forum więc wszytkich serdecznie. Prosiłbym o szybką pomoc w odblokowaniu komputera firmowego. Pokazuje mi się komunikat że komputer został zablokowany i trzeba wpłacić odpowiednią kwotę ble ble ble. Zrobiłem skan proogramem OTL i załączam pliki z logami. W chwili obecnej jestem na trybie awaryjnym i prosiłbym o wyrozumiałość bo nie jestem informatykiem . Prosiłbym o szybką interwencję zanim przyjdą klienci po FV.

OTL.Txt

Extras.Txt

[picasso]

Był używany ComboFix. Na przyszłość: KLIK. A zasady działu wskazują, by nie unikać tego tematu i przedstawić log który utworzył.

 

 

1. Wstępne odblokowanie komputera. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [WinSyncMetastore] C:\Users\pc\AppData\Local\Microsoft\Windows\3924\WinSyncMetastore.exe ()
 
:Files
C:\Users\pc\AppData\Local\Microsoft\Windows\3924
C:\Users\pc\AppData\Roaming\hellomoto
C:\Users\pc\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
 
:Services
Catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. I możemy przejść do pobocznej deinstalacji adware CrowdStar Gamebar + CrowdStar Gamebar Updater. Wymontuj to także w meneżerze dodatków Firefox. Popraw w AdwCleaner opcją Delete (powstanie log na dysku C)

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1, AdwCleaner z punktu 2 oraz log ComboFix (nie uruchamiaj go ponownie, chodzi o log z tamtego uruchomienia).

 

 

 

.

[lordman]

załączam wymagane pliki i dodatkowo z combofixa ale nie mogę załączyć pliku otl z usuwania. wyskakuje mi komunikat ze mam brak uprawnien

OTL.Txt

AdwCleanerS1.txt

ComboFix.txt

[picasso]

ComboFix nic nie usuwał, uruchomiony niepotrzebnie.

 

 

ale nie mogę załączyć pliku otl z usuwania. wyskakuje mi komunikat ze mam brak uprawnien

 

Zasady działu i Pomoc forum wyraźnie opisują dozwolone czynności. Załączniki akceptują tylko rozszerzenie *.TXT, a tu jest *.LOG. Należy ręcznie zmienić nazwę pliku. Ale podarujmy sobie to już. Widzę w nowym skanie OTL pożądane zmiany. Sprawa załatwiona. Wykonaj czynności zamykające czyszczenie:

 

 

1. Napraw drobny błąd WMI numer 10 w oparciu o instrukcje z KB950375.

 

2. Prawidłowa deinstalacja ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\ComboFix.exe /uninstall

 

Przez SHIFT+DEL skasuj katalog C:\Windows\erdnt (kopia rejestru zrobiona przez ComboFix).

 

3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Na wszelki wypadek zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli brak detekcji czegokolwiek:

 

5. Do przeprowadzenia podstawy aktualizacyjne: KLIK. Porównawczo z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.6001.19272)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)

 

6. Notowalny brak jakiegokolwiek antywirusa z osłoną redydentną. Do uzupełnienia.

 

 

PS. Zaś McAfee Security Scan Plus to odinstaluj. Sądzę, że to niecelowa instalacja tylko przemyt jako sponsor którejś paczki Adobe.

 

 

.

[lordman]

wykonałem prawie wszystkie punkty prócz punktu 1 (totalnie nie mam pojęcia jak to wykonać) i punktu 5 (ale wykonam jak bede miał chwilę wolnego). Odnośnie antywirusa czy Kaspersky Internet Security 2012 pomoże mi w uchronieniu się od następnej podobnej przygody. Chciałbym również podziękować za pomoc w odblokowaniu komputera (zwłaszcza że komputer firmowy to podwujnie nieprzyjemna sytuacja)

[picasso]

wykonałem prawie wszystkie punkty prócz punktu 1 (totalnie nie mam pojęcia jak to wykonać)

 

1. Otwórz Notatnik i wklej w nim:

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\subscription")
 
Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'")
 
set obj2set = obj1.Associators_("__FilterToConsumerBinding")
 
set obj3set = obj1.References_("__FilterToConsumerBinding")
 
 
 
For each obj2 in obj2set
                WScript.echo "Deleting the object"
                WScript.echo obj2.GetObjectText_
                obj2.Delete_
next
 
For each obj3 in obj3set
                WScript.echo "Deleting the object"
                WScript.echo obj3.GetObjectText_
                obj3.Delete_
next
 
WScript.echo "Deleting the object"
WScript.echo obj1.GetObjectText_
obj1.Delete_

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBS

 

Plik przekopiuj wprost na C:\.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER. Skrypt zrobi co należy.

 

 

 

.

[lordman]

Zrobione. Jeszcze raz bardzo dziękuje za odblokowanie komputera. Oczywiście wspomogę forum jak tylko założe PayPala. Dzięki pomocy uzyskanej tutaj obeszło się bez formatu przez co sie zaoszczędziło duzo czasu. Jeszcze raz wielkie dzięki..