Blokada komputera

[kam123kam]

Witam.
Dziś kiedy siedziałem sobie na przeglądarce nagle wywaliło mi stronę że komputer zostanie zablokowany przez policję i mam wpłacić grzywnę.
Wyczytałem na internecie że to specjalny wirus trojan i chciałbym go się pozbyć ale antivirus "eset" go nie wykrywa.
Podsyłam logi z OTL i liczę na waszą pomoc.
Z góry dzięki !

OTL ---> Dostępne tylko dla zarejestrowanych użytkowników
Extras ---> Dostępne tylko dla zarejestrowanych użytkowników

-- 26 wrz 2014, 21:41 --

ref

[mity4]

przeskanuj darmowym
malwarebytes anti-malware
jednak wcześniej niech sprawdzą logi.

osoba sprawdzajaca napisze co masz dalej robić ale takie info ode mnie ten program przydaje sie na skanowanie co jakis czas jest bardzo dobry

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:processes
killallprocesses

:OTL
O34 - HKLM BootExecute: (ROBoot64 \??\C:\Windows\system32\ASOROSet.bin)
O4 - HKU\S-1-5-21-35367239-692444072-3419118490-1001..\Run: [lollipop] c:\users\hp\appdata\local\lollipop\lollipop.exe (cantonnai)
O4 - HKLM..\Run: [ApnTBMon] C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)
O3 - HKU\S-1-5-21-35367239-692444072-3419118490-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
CHR - plugin: Error reading preferences file
FF - prefs.js..browser.search.defaultengine: "Ask Search"
FF - prefs.js..browser.search.defaultenginename: "Ask Search"
FF - prefs.js..browser.search.order.1: "Ask Search"
FF - prefs.js..browser.search.selectedEngine: "Ask Search"

:Files
rd /s /q "C:\Program Files (x86)\AskPartnerNetwork" /C
del /q "C:\Users\HP\AppData\Roaming\mozilla\firefox\profiles\3dtlehpr.default\searchplugins\ask-search.xml" /C
del /q "C:\Users\HP\AppData\Roaming\mozilla\firefox\profiles\3dtlehpr.default\extensions\toolbar_ORJ-V7C@apn.ask.com.xpi" /C
C:\ProgramData\76351E6.cpp
C:\Windows\tasks\*.job
netsh firewall reset /C

:Commands
[Reboot]

Klik w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Po restarcie spakuj mi cały folder C:\_OTL i wrzuć np. na zippyshare i zapodaj linka.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Daj logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

[kam123kam]

ADW---> Dostępne tylko dla zarejestrowanych użytkowników
OTL---> Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS---> Dostępne tylko dla zarejestrowanych użytkowników
FRST.txt---> Dostępne tylko dla zarejestrowanych użytkowników
ADDITION.txt---> Dostępne tylko dla zarejestrowanych użytkowników
SHORCUT.txt---> Dostępne tylko dla zarejestrowanych użytkowników

Niemogę wykonać skrypu w OTL podczas wykonywania skryptu mam brak odpowiedzi.Czekałem 30 min i nic się nie zmieniało.

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
S1 aaeb851; \??\C:\Windows\system32\drivers\aaeb851.sys [X]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
S2 Winmgmt; C:\PROGRA~3\6E15367.dot [X]
FF DefaultSearchEngine: Ask Search
FF SearchEngineOrder.1: Ask Search
FF SelectedSearchEngine: Ask Search
FF Extension: No Name - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\3dtlehpr.default\Extensions\toolbar_ORJ-V7C@apn.ask.com.xpi [2013-11-09]
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
C:\Windows\SysWOW64\sqlite3.dll
C:\ProgramData\76351E6.cpp
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. Wstaw mi raport z Dostępne tylko dla zarejestrowanych użytkowników

4. Nowe logi z FRST wykonaj i wklej.

[kam123kam]

Tdskiller ---> Dostępne tylko dla zarejestrowanych użytkowników
Frst ---> Dostępne tylko dla zarejestrowanych użytkowników
Addition ---> Dostępne tylko dla zarejestrowanych użytkowników
Shorcut ---> Dostępne tylko dla zarejestrowanych użytkowników
Fixlog ---> Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wszystko usunięte i naprawione pomyślnie.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[kam123kam]

DelFix ---> Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes ---> Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Jednym słowem - czysto.