Mam zablokowany komputer - Ukash

[jwojtan]

Witam

Wczoraj przeglądając internet wyświetlił mi się ekran niby z policji.

Pomyślałem, że to wirus. W trybie awaryjnym przeskanowałem komputer programem HitMan pro.

Użyłem też programu Rkill.

Ekran "policyjny" zniknął, ale za to po włączeniu komputera pojawia się po chwili wyłącznie tapeta.

Proszę o pomoc

yooot

Extras.Txt

OTL.Txt

[picasso]

Jest tu także niezłe śmietnisko adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV:64bit: - File not found [Kernel | Auto | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys -- (AODDriver4.01)
O4:64bit: - HKLM..\Run: [VIAAUD] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VIAAUD.exe File not found
O4 - HKCU..\Run: [ASRockIES]  File not found
O4 - HKCU..\Run: [ASRockOCTuner]  File not found
O4 - HKCU..\Run: [gbvhnfijpggfijy] C:\ProgramData\gbvhnfij.exe ()
[2012-07-13 00:26:50 | 000,000,000 | ---D | C] -- C:\ProgramData\boplvsqrpfzepft
[2012-07-13 00:26:53 | 000,000,051 | ---- | M] () -- C:\ProgramData\eglgoxowlsifocb
[2012-07-13 00:26:44 | 000,049,152 | ---- | M] () -- C:\Users\yooot\0.8890107872203196.exe
[2012-06-30 20:08:56 | 000,000,000 | ---D | C] -- C:\Users\yooot\AppData\Local\Smartbar
[2012-06-30 20:07:08 | 000,000,000 | ---D | C] -- C:\Users\yooot\Documents\My Cheat Tables
[2012-06-30 20:06:55 | 000,000,000 | ---D | C] -- C:\Users\yooot\AppData\Roaming\OpenCandy
[2012-05-13 11:49:57 | 000,001,798 | ---- | M] () -- C:\Users\yooot\AppData\Roaming\Mozilla\Firefox\Profiles\lisl3ejq.default\searchplugins\funmoods.xml
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\yooot\AppData\Roaming\Mozilla\Firefox\Profiles\lisl3ejq.default\searchplugins\startsear.xml
[2012-06-13 14:53:02 | 000,004,002 | ---- | M] () -- C:\Users\yooot\AppData\Roaming\Mozilla\Firefox\Profiles\lisl3ejq.default\searchplugins\sweetim.xml
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={8C8E3F5A-4D7B-469A-B8D3-06D9F2E6FBAD}"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=d4d0e91c-23f5-11e1-ac6f-00252272be4f&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=wbst"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52000028-cb38-4959-aa13-5f256a67d8a8&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={8C8E3F5A-4D7B-469A-B8D3-06D9F2E6FBAD}"
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52000028-cb38-4959-aa13-5f256a67d8a8&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d4d0e91c-23f5-11e1-ac6f-00252272be4f&q={searchTerms}"
IE - HKCU\..\SearchScopes\{1D6C8E91-D2A3-4BCF-AB77-AC3E1C3F90B3}: "URL" = "http://start.funmoods.com/results.php?f=4&a=wbst&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={8C8E3F5A-4D7B-469A-B8D3-06D9F2E6FBAD}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52000028-cb38-4959-aa13-5f256a67d8a8&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52000028-cb38-4959-aa13-5f256a67d8a8&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{20902962-0572-4620-B08F-D6BB89AA1BA7}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{20902962-0572-4620-B08F-D6BB89AA1BA7}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Deinstalacje adware:

• Przez Panel sterowania odinstaluj: BrowserCompanion, DAEMON Tools Toolbar, DealPly, Deinstalator Strony V9, PCSpeedUp, Przyspiesz Komputer, SweetIM / Internet Explorer Toolbar 4.6 by SweetPacks oraz LiveVDO plugin 1.3 (nośnik adware).
  
• Otwórz Firefox i w Dodatkach odmontuj Browser Companion Helper, Funmoods.com
  
• Otwórz Google Chrome, wejdź do Opcji i w Rozszerzeniach odmontuj DealPly, SweetIM, LiveVDO. Następnie wejdź do zarządzania wyszukiwarkami i przestaw domyślną z bieżącego śmiecia feed.helperbar.com na np. Google, następnie helpera usuń z listy. I przekonfiguruj stronę startową.
  

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[jwojtan]

Wykonałem wskazówki.

Komputer się włączył normalnie.

Dzięki.

AdwCleanerS1.txt

07132012_191223.txt

OTL.Txt

[picasso]

Wyciąłeś ze skryptu dwie linie, a to nie był mój błąd tylko celowość, ze względu na parametry wpisów, one są oznaczone jako martwe:

 

- Jest "file not found" (brak pliku) i w związku z tym usługa ma status "Stopped" (Zatrzymana):

 

DRV:64bit: - File not found [Kernel | Auto | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys -- (AODDriver4.01)

 

- Jest "file not found" (brak pliku):

 

O4:64bit: - HKLM..\Run: [VIAAUD] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VIAAUD.exe File not found

 

Jeśli tak Ci "zależy" na tych kalekich wpisach, możesz je sobie asekuracyjnie odfajczyć (a nie kasować) via Autoruns w kartach Drivers + Logon ....

 

 

---

Wykonaj następujące czynności:

 

1. Jeszcze zapomniałam dać na deinstalację Media Player. To zresztą wykrywa MBAM, jako nośnik adware (i tak tu było). I od razu także ACE Mega CoDecS Pack = toż to zgroza, taki sterany pack z 2004 na Windows 7, na szczęście on nie ma wpływu na powłokę, bo jest 32-bitowy, i nie widać wyłożeń explorer.exe.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Napraw drobny błąd WMI numer 10 narzędziem z KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Przeskanuj system via MBAM. Jeśli coś wykryje, przedstaw raport. W wynikach zjawi się to (omiń), czyli "cukierek" Office:

 

[2011-12-16 01:28:04 | 000,151,552 | ---- | C] () -- C:\Windows\KMService.exe
[2011-12-16 01:28:04 | 000,008,192 | ---- | C] () -- C:\Windows\SysWow64\srvany.exe

 

6. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416030FF}" = Java™ 6 Update 30 (64-bit)
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ----> wersja dla FF już najnowsza 11.3.300.265, ale sprawdź w/w ActiveX dla IE
"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) ----> poniżej najnowszy, ten do deinstalacji
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

 

PS. Gadu-Gadu 10 - tu też mam "zastrzeżenia", sugeruję by tego zasobożernego potworka zamienić przyjaźniejszym programem z obsługą Gadu. Do wglądu wypracowanie Darmowe komunikatory i opisy WTW, Kadu, Miranda i AQQ.

 

 

.

[jwojtan]

Komputer działa coraz lepiej!

Chcę zrobić to dobrze.

Dzięki.

mbam-log-2012-07-13 (22-42-57).txt

[picasso]

Te dwa pierwsze wyniki to już skomentowałam wcześniej, dwa pozostałe niejasne. Ten cacaoweb.exe to sporna dla mnie kwestia, jakie jego pochodzenie, bazy różnie o nim mówią (niektóre twierdzą OK, inne że śmieć w tzw. "instalacjach wiązanych"). Na wszelki wypadek usuń.

 

I tyle z mojej strony. Czynności zamykające zadałam, klaruje się i zamknięcie tematu jako ukończonego. Daj sygnał.

 

 

.

[jwojtan]

Bardzo dziękuję za fachową pomoc!

Pozdrawiam

yooot

Dotacja - ok!