Skocz do zawartości

Ukash - komputer zablokowany


Rekomendowane odpowiedzi

Witam

 

Widzę, że wirus dotknął mnóstwo osób. Niestety i ja miałem pecha. Pomożecie? Od paru dni głowię się co i jak, kombinowałem z Combofixem, nie pomogło, z Malwarebytes Anti-Malware też, coś tam wykrył 10 albo więcej czegoś, usunąłem je. Po restarcie też nic. Juz niewiem co poradzić. Dawno zrobiłbym dla spokoju format, ale płytka jak na złość się gdzieś zgubiła.

Log z OTL 3.2.54.0

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4:64bit: - HKLM..\Run: [WLanConn] C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222\WLanConn.exe ()
 
:Files
C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222
C:\Users\Przemek\AppData\Roaming\hellomoto
C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\vw48r5vh.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

3. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, uTorrentControl2 Toolbar.

- Otwórz Firefox i w Dodatkach odinstaluj: uTorrentControl2 Community Toolbar

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: uTorrentControl2. Wejdź do zarządzania wyszukiwarkami i przestaw domyślną z Conduit na cokolwiek innego (np. Google), po czym usuń Conduit z listy.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1, log z filtrowania SFC z punktu 2 oraz AdwCleaner z punktu 4.

 

 

 

.

Odnośnik do komentarza

Wyniki z SFC: sądząc po plikach zdaje się, że tu był jakiś obłudny crack związany z aktywacją systemu, gdyż SFC wykryło jako naruszone bardzo charakterystyczne pliki. Naprawiło, co jest równe zdjęciu działania sztucznych modyfikacji. Infekcja i adware pomyślnie usunięte, przejdź do tej porcji czynności:

 

1. Mini poprawka. Jakoś ominęłam do deinstalacji dziwadło Przyspiesz.pl 1.2.0.0, usuń. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem bez resetu. Logów sprawdzać już nie muszę.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Przemek\Desktop\ComboFix.exe /uninstall

 

3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Przeprowadź skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

5. Podstawy aktualizacyjne: KLIK. Z Twojej listy zainstalowanych, widoczny brak aktualizacji Windows (SP1+IE9) oraz wersje:

 

64bit- Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)

"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3

 

 

Uwaga poboczna na temat Gadu-Gadu 10. Jest to ciężki program, który głównie zajmuje się konsumpcją zasobów systemowych. Polecam alternatywne lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.

Odnośnik do komentarza

Widzę, że wszystko pokazuje czarno na białym, najmniejsze próby czegokolwiek. :)

Tak, był dawno temu wgrywany crack, system jest, że tak powiem inny. Ten brzydki crack pewnie też został usunięty podczas całej operacji usuwania szkodnika. Od teraz Windows próbuje się zaktualizować przy każdym włączeniu. Dałoby się go zaktualizować? A jak nie to po prostu wyłączyć ten komunikat o próbie modyfikacji?

 

Wezmę pod uwagę tą wzmiankę o GG. Pójdzie dotacja. Wielką pomoc otrzymałem. Log z Malwarebytes. Wykrył jeden obiekt.

mbam-log-2012-07-16 (11-05-42).txt

Odnośnik do komentarza
Log z Malwarebytes. Wykrył jeden obiekt.

 

Tu nic szczególnego. MBAM wykrył instaklator, który jest nośnikiem adware. Usunąć plik z dysku i po sprawie.

 

 

Ten brzydki crack pewnie też został usunięty podczas całej operacji usuwania szkodnika.

 

Jak mówię: skanowanie SFC przywracało domyślne wersje plików Windows.

 

 

Od teraz Windows próbuje się zaktualizować przy każdym włączeniu. Dałoby się go zaktualizować? A jak nie to po prostu wyłączyć ten komunikat o próbie modyfikacji?

 

Nie rozumiem tego opisu. Przybliż mi bardziej szczegółowo co się dzieje, co widzisz, jaka treść komunikatów.

 

 

 

.

Odnośnik do komentarza
Oryginał zaginał gdzieś w czeluściach przeprowadzki. Dałoby się coś z tym zrobić?

 

Ach więc o te komunikaty chodzi. Przykro mi, ale ja nie mogę podawać na forum instrukcji robienia "lewego" Windows "prawym". Te komunikaty są nieusuwalne z poziomu opcji Windows, dopóki Windows nie zostanie prawidłowo zaktywowany lub ... oszukany. Pomijając już to, Windows w takim stanie da się zaktualizować.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...