Komputer zostal zablokowany z powodu naruszenia prawa polskiego

[Ostach 0]

Nie wiem czy nie za wcześnie zresetowałem kompa. Raport po restarcie pokazał się przy próbie uruchomienia OTL. Zapisałem go na pulpit, zamknąłem bo musiałem czymś się zająć i klops - pliku nie ma o.O i nie mogę go znaleźć.

 

Log:

http://wklej.to/IuvkC

[filutka78 11]

--------------------------------->>>@Ostach

 

C:\Users\Ostach\AppData\Roaming\bot.exe

 

znasz to?

 

Jeśli nie znasz, to zrobisz to:

Uruchomisz OTL i w oknie Własne opcje skanowania/Skrypt wkleisz to:

:OTL

O4 - HKU\S-1-5-21-3334842768-571363133-859824749-1000..\Run: [WMNetMgr] C:\Users\Ostach\AppData\Local\Microsoft\Windows\4818\WMNetMgr.exe ()

 

:Files

C:\Users\Ostach\AppData\Roaming\hellomoto

C:\Users\Ostach\AppData\Local\Microsoft\Windows\4818

C:\Users\Ostach\AppData\Roaming\bot.exe

 

:Commands

[emptytemp]

Klikniesz w Wykonaj Skrypt. Zatwierdzisz restart komputera. Zapiszesz raport, który pokaże się po restarcie.

Następnie uruchomisz OTL ponownie, tym razem klikniesz Skanuj.

Pokażesz nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Jeśli natomiast znasz ten "bot.exe", to ze Skryptu usuniesz całą linijkę C:\Users\Ostach\AppData\Roaming\bot.exe i dopiero wtedy przystąpisz do usuwania.

 

F.

[Ostach 0]

po resecie:

http://wklej.to/mhS0E

 

log:

http://wklej.to/9Q4tl

[filutka78 11]

--------------------------------->>>@Ostach

 

Jest OK, kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

(choć właściwie nie wiem, czy jest sens usuwać OTL, bo po usunięciu pierwszej wersji "UKASH'a" u Ciebie zjawiła się następna wersja tej infekcji. To oznacza, że jest bardzo duże ryzyko, że wkrótce u Ciebie zjawi się następna wersja.

Ponieważ ta infekcja dostaje się na komputer wyłącznie poprzez luki w nieaktualizowanych programach, dodatkach, wtyczkach, to najwidoczniej coś masz nieaktualizowanego. Najczęściej ta infekcja wykorzystuje nieaktualizowaną Javę lub Adobe Flash Player.)

 

F.

[Ostach 0]

Na razie nic się nie dzieje. Dzięki wielkie! Wiszę piwko

[vader112 0]

Witam,

mam podobny problem jak poprzednicy włączam komputer i pokazuje się komunikat, że komputer został zablokowany przez złamanie prawa rzeczpospolitej polskiej itd. Komputer uruchomił się w trybie awaryjnym więc zrobiłem skan OTLem, oto wynik:

http://wklej.to/PM8zb

[filutka78 11]

--------------------------------->>>@vader112

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-10-31 12:50:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\hellomoto

[2012-10-31 12:51:24 | 000,001,062 | ---- | C] () -- C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk

[2012-10-31 12:51:19 | 083,023,306 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

[2012-10-31 12:51:15 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe

O4 - Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

[2011-10-15 14:01:44 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml

FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddrnw"

IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Użyj >Adw-cleaner. Kliknij w nim Delete

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

 

F.

[vader112 0]

Dzięki za szybką odpowiedź. Zrobiłem tak jak napisałeś i po wykonaniu skryptu raport wyglądał tak:

http://wklej.to/qTvgz

 

zrestartował się i niestety ponownie wyskoczył ten komunikat o złamaniu prawa... uruchomiłem go ponownie w trybie awaryjnym i wykonałem jeszcze jeden skan OTL:

http://wklej.to/gOgjB

 

zrobiłem też Adw-cleaner:

http://wklej.to/mgrMp

 

i po restarcie niestety dlaje to samo

[filutka78 11]

--------------------------------->>>@vader112

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-10-31 13:59:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Dane aplikacji\hellomoto

O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe (Microsoft Corporation)

 

:Files

C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[rychu-893 0]

Witam,

 

Mam z tym syfem problem w pracy, niestey skanowanie malwarebytes nie pomaga po restarcie wyskakuje komunikat.

Mam pytanie jak generujecie te logi do OTL?

 

Pozdrawiam

Mateusz

[filutka78 11]

--------------------------------->>>@rychu-893

 

>http://forum.pclab.pl/topic/612561-Standardowe-instrukcje-po-zainfekowaniu-systemu/

Jak się nie będzie dało w Trybie Normalnym, to spróbujesz w Trybie Awaryjnym (F8 przed startem Systemu).

Log wklej na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

 

F.

[vader112 0]

Ok, skrypt wykonany i po restarcie blokada już nie wystapiła :

http://wklej.to/V6kZt

 

Ponowny skan:

http://wklej.to/Fs0Od

 

robię właśnie update tej javy nieszczęsnej

[filutka78 11]

--------------------------------->>>@vader112

 

Tak, jest OK. Kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

robię właśnie update tej javy nieszczęsnej

Ta infekcja najczęsciej wykorzystuje luki w nieaktualizowanej Javie, ale potrafi wykorzystywać też luki w innym nieaktualizowanych programach, dodatkach.

Możesz sobie zrobić log z Security Check >http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page__p__9515#entry9515

Obiekty zaznaczone na czerwono potrzebują pilnie zauktualizowania, bo mają luki.

Tu są podane linki do niektórych aktualizacji >

>http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

 

F.

[vader112 0]

Nawet nie wiesz jaki jestem wdzięczny Dziękuje bardzo za pomoc

[rychu-893 0]

Dzięki za podpowiedź, zniszczyłem go(przynajmniej na chwile) ESET Online Scanner, zrobił skan znalazł cos więcej niz malware, chyba pliki win32.

 

 

Pozdrawiam

Mateusz

[SzlachcicPG 0]

Witam.

 

Podepnę się po temat. Oto log z OTL:

 

Extras http://www.wklejto.pl/137466

OTL http://www.wklejto.pl/137467

 

Wcześniej zastosowałem ComboFix ale nie podziałało.

 

Z góry dziękuję za pomoc. Pozdrawiam.

[filutka78 11]

--------->>@SzlachcicPG

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2012-09-17 13:18:22 | 000,000,000 | ---D | M] -- C:\Users\Kamil\AppData\Roaming\hellomoto

O4 - HKLM..\Run: [sensApi] C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386\SensApi.exe ()

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

 

:Files

C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://java.com/pl/download/windows_xpi.jsp?locale=pl

Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

 

F.

[SzlachcicPG 0]

Raport z usuwania: http://www.wklejto.pl/137528

Nowy OTL.txt: http://www.wklejto.pl/137529

 

Teraz doszedł problem z siecią. Nie łączy się ani przez WiFi ani przez kabel

[filutka78 11]

------------->>@SzlachcicPG

Jest OK, w nowym logu nic podejrzanego.

Na wszelki wypadek przeskanuj komputer przy pomocy > MBAM

Na końcu kliknij na Usuń zaznaczone.

 

Teraz doszedł problem z siecią. Nie łączy się ani przez WiFi ani przez kabel

To już nie moja "działka".

Ale ten dział jest także do pomocy w problemach z siecią, więc może znajdzie się tu ktoś, kto będzie potrafił Ci pomóc?

Tego nie wiem.

 

F.

[SzlachcicPG 0]

Serdecznie dziękuję za pomoc

Wszystko wróciło do normy. A z brakiem sieci sobie już poradzę

 

Jeszcze raz dziękuję F.

[filutka78 11]

Serdecznie dziękuję za pomoc

Wszystko wróciło do normy. A z brakiem sieci sobie już poradzę

 

Jeszcze raz dziękuję F.

Spróbuj tego:

Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

[Pattriick 0]

witam.

mam ten sam problem już drugi dzień. skanowałem system programem malwarebytes anti-malware oraz wyczyściłem cc cleanerem i nic nie pomogło.

wrzucam logi z otla

http://wklej.to/FCt2N

[filutka78 11]

---------->>@Pattriick

 

Po infekcji pozostał już tylko jeden plik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O3 - HKU\S-1-5-21-2310037176-1998221821-351828559-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

 

:Files

C:\ProgramData\netdislw.pad

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

F.

[Pattriick 0]

oto raport :

http://wklej.to/Q8hUu

 

nowy plik otl :

http://wklej.to/S0ICc

[filutka78 11]

--------->>@Pattriick

 

W nowym logu nie ma już niczego podejrzanego, więc kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.