Komputer zablokowany z powodu naruszenia prawa Polskiego - Ukash

Pablo Hudinii · 17 Lipca 2012

Koledzy bardzo proszę o Waszą pomoc. Ukash zagościł też w moim komputerku bez Waszej pomocy napewno sobie nie poradzę i żona mnie udusi:( za swojego laptopa (dobrze, że teraz jest w pracy i nie wiedzi co jej narobiłem mam nadzieje, ze nic z danych jej nie zginie:/) odpaliłem programik OTL i podpinam pliki pod temat z góry ślicznie dziękuje.

OTL.Txt

Extras.Txt

BuMeL · 17 Lipca 2012

W trybie awaryjnym usuń plik : c:document and settings[nazwa uzytkownika]ustawienia lokalnedane aplikacjimicrosoftwindows2109WUDFPlatform.exe

Przeskanuj później system antywirusem.

Kto dostarcza Ci internet ?

Kolobos · 17 Lipca 2012

-> BuMeL

Nie widzisz, ze autor ma cala mase innych infekcji? W tym rootkita zeroaccess.

Do aktualizacji:

Java 6 Update 26 -> www.java.com

Mozilla Firefox 6.0.2 (x86 pl)

Odinstaluj:

SweetIM for Messenger 3.6

Google Toolbar for Internet Explorer

AML Free Registry Cleaner 4.22

SweetPacks Toolbar for Internet Explorer 4.5

Adobe Reader 9.1 - Polish, zmien na Foxit: ninite.com/foxit/

Update Manager for SweetPacks 1.0

Akamai NetSession Interface Service

Wykonaj skrypt w OTL:

:OTL

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://home.sweetim.com/?crg=3.1010000&barid={709BFD2E-3361-4405-AFCB-9E28E6FD41DB}

IE - HKLM..SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={709BFD2E-3361-4405-AFCB-9E28E6FD41DB}'>http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={709BFD2E-3361-4405-AFCB-9E28E6FD41DB}

IE - HKU.DEFAULT..URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgHelper.dll (SweetIM Technologies Ltd.)

IE - HKUS-1-5-18..URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgHelper.dll (SweetIM Technologies Ltd.)

IE - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgHelper.dll (SweetIM Technologies Ltd.)

IE - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}

IE - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={709BFD2E-3361-4405-AFCB-9E28E6FD41DB}

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"

FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&barid={709BFD2E-3361-4405-AFCB-9E28E6FD41DB}"

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590

FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q="

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"

FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"

FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="

[2011/04/24 13:43:55 | 000,002,567 | ---- | M] () -- C:Documents and SettingsLESZEKDane aplikacjiMozillaFirefoxProfilesymc3llml.defaultsearchpluginsaskcom.xml

[2012/04/14 14:17:41 | 000,003,992 | ---- | M] () -- C:Documents and SettingsLESZEKDane aplikacjiMozillaFirefoxProfilesymc3llml.defaultsearchpluginssweetim.xml

O3 - HKU.DEFAULT..ToolbarWebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKU.DEFAULT..ToolbarWebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKUS-1-5-18..ToolbarWebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKUS-1-5-18..ToolbarWebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..ToolbarWebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..ToolbarWebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKUS-1-5-21-2052111302-1060284298-1202660629-1003..ToolbarWebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:Program FilesSweetIMToolbarsInternet ExplorermgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..Run: [sweetIM] C:Program FilesSweetIMMessengerSweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKLM..Run: [sweetpacks Communicator] C:Program FilesSweetIMCommunicatorSweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)

O4 - HKLM..Run: [wwancfg] C:Documents and SettingsLESZEKUstawienia lokalneDane aplikacjiMicrosoftWindows3207wwancfg.exe ()

O8 - Extra context menu item: Search the Web - C:Program FilesSweetIMToolbarsInternet ExplorerresourcesMenuExt.html ()

[2012/07/03 01:40:11 | 000,000,000 | ---D | C] -- C:Documents and SettingsLESZEKDane aplikacjihellomoto

[2012/04/11 08:45:49 | 000,130,048 | ---- | C] (Eugene Roshal & FAR Group) -- C:Documents and SettingsAll UsersDane aplikacji7Da68bFd.exe

[2012/07/06 00:34:20 | 000,000,000 | -HS- | M] () -- C:WINDOWSSystem32dds_trash_log.cmd

[2012/07/06 00:31:09 | 000,000,204 | ---- | M] () -- C:Documents and SettingsLESZEKDane aplikacji-2879089

[2012/07/03 11:00:38 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt12.job

[2012/07/03 11:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt36.job

[2012/07/03 09:31:58 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt4.job

[2012/07/03 03:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt28.job

[2012/07/03 02:02:58 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt3.job

[2012/07/03 02:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt27.job

[2012/07/02 21:00:04 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt22.job

[2012/07/02 21:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt46.job

[2012/07/02 20:00:04 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt21.job

[2012/07/02 20:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt45.job

[2012/07/02 19:00:04 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt20.job

[2012/07/02 19:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt44.job

[2012/07/02 18:19:12 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt19.job

[2012/07/02 18:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt43.job

[2012/07/02 14:10:23 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt15.job

[2012/07/02 14:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt39.job

[2012/07/01 01:20:10 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt2.job

[2012/07/01 01:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt26.job

[2012/06/30 04:08:43 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt5.job

[2012/06/30 04:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt29.job

[2012/06/29 12:00:08 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt13.job

[2012/06/29 12:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt37.job

[2012/06/28 22:09:11 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt23.job

[2012/06/28 22:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt47.job

[2012/06/28 16:06:47 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt17.job

[2012/06/28 16:00:01 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt41.job

[2012/06/28 13:09:33 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt14.job

[2012/06/28 13:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt38.job

[2012/06/28 07:01:22 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt8.job

[2012/06/28 07:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt32.job

[2012/06/26 23:02:12 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt24.job

[2012/06/26 23:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt48.job

[2012/06/26 10:01:55 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt11.job

[2012/06/26 10:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt35.job

[2012/06/24 17:17:41 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt18.job

[2012/06/24 17:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt42.job

[2012/06/23 05:04:09 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt6.job

[2012/06/23 05:00:01 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt30.job

[2012/06/17 15:00:05 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt16.job

[2012/06/17 15:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt40.job

[2012/06/16 09:02:44 | 000,000,424 | ---- | M] () -- C:WINDOWStasksAt10.job

[2012/06/16 09:00:00 | 000,000,426 | ---- | M] () -- C:WINDOWStasksAt34.job

[2009/10/28 10:11:06 | 000,002,045 | -H-- | C] () -- C:Documents and SettingsAll UsersDane aplikacjiwhlb32g.dll

[2009/02/24 19:50:02 | 000,000,000 | ---- | C] () -- C:Documents and SettingsLESZEKY=Y=

[2012/05/03 17:44:02 | 000,000,000 | ---D | M] -- C:Documents and SettingsAll UsersDane aplikacji529C505A0003C2EE000003788DB91C90

Po wykonaniu uzyj combofix i daj log. Do tego nowy log z OTL.

Zrob tez skan przy pomocy mbam oraz cureit.

BuMeL · 17 Lipca 2012

Sory ale odpisywałem z linuxa i miałem problem z otwarciem logów. Tak czy siak za chęć współpracy życzę użytkownikowi aby żona utarła mu paszczę :)

Pablo Hudinii · 21 Lipca 2012

poszło i wszystko działa:) komuter chodzi o niebo lepiej.... żona zadowolona, że w końcu komputerek chodzi jak rakieta:) ThX

logimen · 16 Września 2012

Siemka,

Wrocilem z impry integracyjnej i zastal mnie taki ekran po starcie windowsa. Najgorsze jest to, ze w trybie awaryjnym tez mam ten ekran wiec nic nie moge odpalic (brak dostepu do menedzera zadan).

Ktos wie jak usunac szybko tego ukasha bez sprawnego trybu awaryjnego ?

EDIT:

W safe boot z wierszem polecen zrobilem skan OTLemi zalczam. Prosba o pomoc. Mam na oku 2 pliki podejrzane, ale nie jestem pewien.

Edytowane 16 Września 2012 przez logimen

MaciekCi · 17 Września 2012

Tak tylko rzucę, że zamiast trybu awaryjnego, dobrym sposobem na usuwanie plików jest linux z pendriva. Chyba, że ma się zaszyfrowany dysk ...

Edytowane 17 Września 2012 przez MaciekCi

logimen · 17 Września 2012

Moze i tak, ale nie zaopatrzylem sie w cos takiego. Moge prosic o pomoc? Premiera borderlands2 sie zbliza, a tu taki zonk:-)

Wysyłane z mojego LT26i za pomocą Tapatalk 2

Edit:

Juz wyplewilem to badziewie.

Edytowane 18 Września 2012 przez logimen

Kolobos · 18 Września 2012

U Ciebie bylo do usuniecia tylko:

:OTL

O20 - HKCU Winlogon: Shell - (C:UserslogimenAppDataRoamingmsconfig.dat) - C:UserslogimenAppDataRoamingmsconfig.dat ()

[2012-09-11 19:06:43 | 000,000,000 | ---D | C] -- C:UserslogimenAppDataRoamingStageManager.BD092818F67280F4B42B04877600987F0111B594.1

Zaloguj się

Komputer zablokowany z powodu naruszenia prawa Polskiego - Ukash

Rekomendowane odpowiedzi

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Dołącz do dyskusji