Komputer zostal zablokowany z powodu naruszenia prawa polskiego

[filutka78 11]

------>>@mikolaj27

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20:64bit: - HKLM Winlogon: Shell - (C:\Users\Mikolaj\AppData\Roaming\jqbkm_geybb) - C:\Users\Mikolaj\AppData\Roaming\jqbkm_geybb.exe ()

O4 - HKCU..\Run: [vmdov_jxlhql] C:\ProgramData\jqbkm_geybb.exe ()

O4 - Startup: C:\Users\Mikolaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 10.0.0)

O16:64bit: - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.4.1)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.4.1)

O4 - HKCU..\Run: [KiesAirMessage] C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup File not found

O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.)

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found.

O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.)

O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.)

[2012-06-07 08:40:25 | 000,000,000 | ---D | M] ("Nero Toolbar") -- C:\Users\Mikolaj\AppData\Roaming\mozilla\Firefox\Profiles\af93zoue.default\extensions\toolbar@ask.com

[2012-11-14 19:47:10 | 000,002,539 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\mozilla\firefox\profiles\af93zoue.default\searchplugins\aol-search.xml

[2011-02-27 11:11:50 | 000,001,196 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\mozilla\firefox\profiles\af93zoue.default\searchplugins\winamp-search.xml

FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&s_qt=ab&s_it=tb50ffwinamp&tb_uuid=20121113082902955&tb_oid=10-10-1010&tb_mrud=10-10-1010&q="

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590

FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.12.2.100013

FF - prefs.js..browser.search.defaultenginename: "AOL Search"

FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50ffwinamp&s_qt=sb&tb_uuid=20121113082902955&tb_oid=10-10-1010&tb_mrud=10-10-1010&query="

IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7

IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.)

IE - HKLM\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found

IE - HKLM\..\SearchScopes,DefaultScope = {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}

 

:Files

C:\Users\Mikolaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

C:\ProgramData\0tbpw.pad

C:\Users\Mikolaj\AppData\Roaming\jqbkm_geybb.exe

C:\Users\Mikolaj\AppData\Local\jqbkm_geybb.exe

C:\ProgramData\jqbkm_geybb.exe

C:\ProgramData\lsass.exe

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner. Kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[mikolaj27 0]

wykonałem twój skrypt, po restarcie pojawił się ten raport

 

http://www.wklejto.pl/140073

 

Komputer został odblokowany, ale po 5minutach znowu pojawiło się okno z ukashem tylko miało inny wygląd niż poprzednie.

Czyszczenie adw-cleanerem nic nie dało, raportu nie mam bo znowu moge tylko działać w wierszu poleceń.

 

tu nowy skan z OTL:

 

http://www.wklejto.pl/140074

[filutka78 11]

--------->>@mikolaj27

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O20:64bit: - HKLM Winlogon: Shell - (c:\users\mikolaj\appdata\roaming\jqbkm_geybb) - File not found

[2012-11-28 10:51:04 | 000,002,538 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\mozilla\firefox\profiles\af93zoue.default\searchplugins\aol-search.xml

FF - prefs.js..browser.search.defaultenginename: "AOL Search"

 

:Files

C:\Users\Mikolaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

C:\ProgramData\0tbpw.pad

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[mikolaj27 0]

to raport po wykonaniu skryptu

 

http://www.wklejto.pl/140077

 

i nowy skan

 

http://wklej.org/id/882365/

 

na razie wszystko działa, dzieki!

[filutka78 11]

--------->>@mikolaj27

 

Jest OK, kończymy:

W Adw-Cleaner kliknij na przycisk Uninstall

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[katharinakatha 0]

witam u nas także pojawił się ten problem. użyłam CCleanera i pousuwałam prawie wszystko z autostartów pozostawiając tylko znane mi narzędzia. Potem przeskanowałam komputer Malwarebytes i wykrył jeden program szpiegujący i go usunełam.

 

Niestety nie mam pewności czy dziadostwo zostało na 100% usunięte więc zrobiłam skan OTL i chciałabym aby ktoś sprawdził go czy nie ma tam nic podejrzanego.

 

Dziękuję za wszelką pomoc.

 

 

OTL.txt - http://wklejto.pl/141344

i extras.txt w załączeniu

Extras.Txt

[filutka78 11]

---------->>@katharinakatha

 

Został 1 plik tej infekcji.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Xfire New Toolbar) - {113342CD-3031-4EE9-9288-2C58857D3A3D} - C:\Program Files\Xfire_New\prxtbXfi0.dll (Conduit Ltd.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll File not found

IE - HKCU\..\SearchScopes\{2FDDF944-5E57-46C8-9DEB-374162635F22}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3248869

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3248869

IE - HKCU\..\URLSearchHook: {113342cd-3031-4ee9-9288-2c58857d3a3d} - C:\Program Files\Xfire_New\prxtbXfi0.dll (Conduit Ltd.)

IE - HKLM\..\URLSearchHook: {113342cd-3031-4ee9-9288-2c58857d3a3d} - C:\Program Files\Xfire_New\prxtbXfi0.dll (Conduit Ltd.)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva401.sys -- (XDva401)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva400.sys -- (XDva400)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva399.sys -- (XDva399)

 

:Files

C:\ProgramData\0tbpw.pad

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

3) Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[katharinakatha 0]

wykonałam ten uniwersalny skrypt UKASH i pokazało mi coś takiego - plik w załączeniu

12092012_174244.txt

[filutka78 11]

-------->>@katharinakatha

 

W takim razie wykonaj tylko punkt 2 oraz 3 z mojego poprzedniego postu.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[katharinakatha 0]

punkt 2

 

http://www.wklejto.pl/141348

 

nowy log otl.txt

 

http://www.wklejto.pl/141351

AdwCleanerR1.txt

[filutka78 11]

--------->>@katharinakatha

 

AdwCleaner miał być użyty z opcji "USUŃ".

Powtórz to.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[katharinakatha 0]

Własnie sie zastanawiałam czemu inna koncówka

 

w załaczeniu prawidłowy

AdwCleanerS1.txt

OTL.Txt

[filutka78 11]

----->>@katharinakatha

 

Teraz jest OK, kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

 

>UKASH-uniwersalne-usuwanie

.

[katharinakatha 0]

serdecznie dziękować

[andrzej1331 0]

Witam. Mam znowu problem i wydaje mi się to podobne: http://wklej.org/id/895381/

Proszę o pomoc. Pozdrawiam.

[filutka78 11]

---------->>@andrzej1331

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKCU..\Run: [secdrvUpdate] C:\Users\Andrzej\AppData\Roaming\VAJNC.exe ()

O4 - HKCU..\Run: [{943AE816-2F8F-AD40-4AC2-A9E2749E8AFF}] C:\Users\Andrzej\AppData\Roaming\Yvojox\wuus.exe ()

O4 - HKLM..\Run: [FAStartup] File not found

O4 - HKLM..\Run: [] File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

[2012-12-12 17:31:02 | 000,223,811 | ---- | M] () -- C:\Users\Andrzej\AppData\Roaming\bg2.jpg

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL, ale zaznacz opcję "LOP"

 

F.

[andrzej1331 0]

http://wklej.org/id/895528/

[filutka78 11]

--------->>@andrzej1331

 

C:\Users\Andrzej\AppData\Roaming\Iqzio

Znasz to?

Zajrzyj, co tam jest.

Ja umieszczę to w Skrypcie, ale jeśli uznasz, że to coś jest prawidłowe, to usuniesz linijkę z tym ze Skryptu.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\Andrzej\AppData\Roaming\Yvojox

C:\Users\Andrzej\AppData\Roaming\Iqzio

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[andrzej1331 0]

Raport: http://wklej.org/id/896079/

Skan: http://wklej.org/id/896081/

[filutka78 11]

--------->>@andrzej1331

 

AAj! Dopiero teraz zauważyłam, że u Ciebie jest chyba całkiem inna infekcja - ta infekcja blokuje wszystkie pliki Użytkownika: obrazki, tekst, itd.

Niestety, tego się nie da odkodować.

Podobne tematy:

http://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/

http://www.fixitpc.pl/topic/14852-pliki-typu-block-prosze-o-sprawdzenie-logow/

http://www.fixitpc.pl/topic/14847-your-computer-is-blocked/

Te pliki są stracone, nie da się ich odzyskać, bo, jak na razie, nie ma odpowiedniego deszyfratora.

Nic na to nie poradzę, przykro mi.

Niepotrzebnie zawracałam Ci głowę tym usuwaniem, bo nie zauważyłam, że to nieuleczalna infekcja.

 

F.