Włamanie na komputer

[Cachero1]

Witam,
Mój kumpel miał włamanie na komputer. Nie wiem jak to się objawiło, ale po krótkiej chwili na jego kompie pojawił się folder z niedozwolonymi zdjęciami, filmikami, wirusami itd. Było tego ogólnie 4 GB. Kolega usunął ten folder wraz z zawartością oprócz tego na skype gościu zdążył powysyłać ten folder do osób, które były akurat online. Powiedział im, żeby tego nie odbierali. Miał spokój na parę dni przez ten czas chyba nic nie zrobił by zabezpieczyć swój komputer przed czymś takim. I teraz na pulpicie wyskoczył mu komunikat cały biały (z czerwonymi paskami po bokach po obu stronach). Z następującą treścią:

Ten komputer został zablokowany.

Komputer został zablokowany przez system automatycznej kontroli informacyjnej. (Nie wiem czy takie coś istnieje).

Dlaczego?

To mogło nastąpić wskutek jednej z następujących przyczyn:
1. Ten komputer był używany w celu odtworzenia zakazanych stron internetowych.
2. Ten komputer był używany w celu odtworzenia stron internetowych, zawierających elementy pornografii dziecięcej.
3.Ten komputer był używany w celu przekazania informacji zakazanej.
4. Ten komputer był używany w celu przechowywania/odtwarzania kontektu niecertyfikowanego.

Jak to naprawić?
Według przepisu z "kontroli informacyjnej oraz zabezpieczenia informacji" z dnia 02.01.2012 jest Pan(i) zobowiązany(a) do zapłaty kary w wysokości 100 EURO. W celu ułatwienia procesu płatności udzielamy zabezpieczonej formy płatności za pomocą voucherów Ukash. Wystarczy kupić voucher(y) o wartości 100 EURO, wpisać je do formy płatności po czym kliknąć "Wysłać kod".

Co nastąpi po wpisaniu kodu?

Po sprawdzeniu kodu przez nas system komputer zostanie odblokowany natychmiast.

I teraz moje pytanie czy to jakiś haker wbił się jemu na kompa, czy to rzeczywiście ten przepis z 02.01.2012 go złapał.
I jeśli to ta pierwsza możliwość to czy od razu robić format.

Proszę o szybką odpowiedz.

[Atis]

Pokaż logi z OTL na wklej.org.

http://www.cert.pl/news/5483

[Cachero1]

A własnie zapomnialem dopisać...nic nie można zrobić. Ten biały ekran jest i nie można go usunąć.

[Fix00ser]

może kolega trafił na inną odmianę tego robaka
klick

[Atis]

Spróbuj w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny lub awaryjny z obsługą sieci.

[Cachero1]

W trybie awaryjnym to samo. Formata walnąć?

[Atis]

Można wykorzystać FRST lub OTLPE:
http://www.fixitpc.pl/topic/4414-diagno ... h-windows/

[Cachero1]

Raport z OTL
http://wklej.org/id/781927/ Extras.Txt

http://wklej.org/id/781929/ OTL.Txt

[Atis]

W panelu sterowania odinstaluj YouTube Downloader Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157
IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000\..\SearchScopes\{2B7047CB-9218-4C3C-8E0D-90B9EBEFC100}: "URL" = http://websearch.ask.com/redirect?clien ... &src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SUPL&apn_uid=ABC4C6BF-1A8A-486F-B606-CD475C0F6B69&apn_sauid=E3E2BCC4-1393-464D-B7FD-E8B4CFCE8976
IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157
[2012-03-10 22:00:02 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Ola\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
O4:64bit: - HKLM..\Run: [taskmsr] C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe ()
O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\windows\iqs.exe File not found
O4 - HKLM..\Run: [Windows Login access] C:\Users\Ola\AppData\Roaming\web2net.exe File not found
O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000..\Run: [Microsoft Firevall Engine] c:\windows\iqs.exe File not found
O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000..\Run: [PlayNC Launcher] File not found
O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000..\Run: [taskmsr] C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe ()
O4 - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000..\Run: [uTorrent] "D:\utorrent\uTorrent.exe" /MINIMIZED File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe) - C:\Users\Ola\AppData\Roaming\taskmsr\taskmsr.exe ()
[2012-06-27 23:05:17 | 000,000,000 | RHSD | C] -- C:\Users\Ola\AppData\Roaming\taskmsr
[2012-06-26 23:18:59 | 000,000,000 | ---D | C] -- C:\Users\Ola\P-7-78-8964-9648-3874

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Ola\P-7-78-8964-9648-3874\windll.exe"=-
"c:\windows\iqs.exe"=-
"C:\Users\Ola\P-7-78-8964-9648-3874\windll.exe"=-
"c:\windows\iqs.exe"=-

:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.

[Cachero1]

Raport z usuwania:
http://wklej.org/id/781965/

-- Dodane 30.06.2012 (So) 14:02 --

Raporty z OTL:
http://wklej.org/id/781973/ Extras.Txt

http://wklej.org/id/781975/ OTL.Txt

[Atis]

Wklej i klikni Wykonaj skrypt:

:OTL
IE - HKU\S-1-5-21-2302606510-1720462711-2945150571-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.premierarticles.info
[2012-04-19 20:32:15 | 000,000,000 | ---D | M] -- C:\Users\Ola\AppData\Roaming\OpenCandy

Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania.
Aby usunąć wszystkie punkty przywracania:
http://windows.microsoft.com/pl-PL/wind ... tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte ... 13117.html

[Cachero1]

Raport z SecurityCheck


Results of screen317's Security Check version 0.99.42
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Lavasoft Ad-Aware
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Ad-Aware
Java(TM) 6 Update 26
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Google Chrome 19.0.1084.52
Google Chrome 19.0.1084.56
Google Chrome plugins...
````````Process Check: objlist.exe by Laurent````````
Ad-Aware AAWService.exe is disabled!
Ad-Aware AAWTray.exe is disabled!
Ad-Aware Antivirus AdAwareService.exe
Ad-Aware Antivirus SBAMSvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

[Atis]

W panelu sterownaia odinstaluj:
Java(TM) 6 Update 26
Adobe Reader 9
Adobe Flash Player 10
Później zainstaluj:
http://www.dobreprogramy.pl/Adobe-Reade ... 11539.html
http://www.dobreprogramy.pl/Java-SE,Pro ... 13186.html
http://helpx.adobe.com/pl/flash-player.html

[Cachero1]

Raport z Malwarebytes Anty-Malware:
http://wklej.org/id/782013/

-- Dodane 30.06.2012 (So) 15:37 --

Zrobiłem już wszystko co napisałeś.

[Atis]

Zmień wszystkie hasła logowania i to wszystko.