Zablokowany dostęp ukash

[robert1305]

Bardzo prosze o pomoc, mam zablokowany komputer z ukash.

Dziekuje bardzo

Extras.Txt

OTL.Txt

[robert1305]

Problem juz rozwiązany

Jak można na przyszlość uchronić sie przed tego typu blokadą?

Pozdrawiam

[picasso]

Proszę o nowe logi, które przedstawią czy na pewno "rozwiązane" i dobrze wyczyszczone. I raczyłbyś napisać co robiłeś.

 

 

Jak można na przyszlość uchronić sie przed tego typu blokadą?

 

Dyskusja: KLIK.

 

 

PS. Zasady działu: by uzupełnić informacje, gdy nikt jeszcze nie odpisał, stosuje się funkcję Edytuj, a nie dyskutuje sam na sam odpisując sobie w nowych postach.

 

.

[robert1305]

Witam

Dodałem taki wpis:

 

:OTL

 

O4 - HKLM..\Run: [sysFxUI] C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1067\SysFxUI.exe ()

 

:Files

C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1067

 

:Commands

[emptytemp]

 

Po ponownym sprawdzeniu załączam pliki

OTL.Txt

07152012_151225.txt

[picasso]

Ten log z usuwania OTL pokazuje, że wszystko jest "not found" = skrypt bezsensownie puszczałeś dwukrotnie. Do wykonania poprawki: nie usunąłeś katalogu pobocznego tej infekcji (hellomoto), są mikro odpadki adware. Był uruchomiony ComboFix, nie przedstawione wyniki jego działania, i nie został prawidłowo odinstalowany. Do tego przejdziemy, na razie czyszczenie:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Robert\Dane aplikacji\hellomoto
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
C:\Documents and Settings\All Users\Dane aplikacji\qjaxlkio.dss
C:\Documents and Settings\All Users\Dane aplikacji\ojobkspa.ako
C:\Documents and Settings\Robert\Dane aplikacji\Mozilla\Firefox\Profiles\rso12bzb.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
 
:OTL
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4c349c96000000000000001966f39aef&tlver=1.4.35.10&affID=100474"
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=WB2"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
SRV - File not found [Auto | Stopped] -- C:\Program Files\ODSP\ODSPHost_NT.exe -- (ODSP Host)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\OCDE.sys -- (OCDE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\A4.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Robert\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.ZUZ\USTAWI~1\Temp\catchme.sys -- (catchme)

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Do oceny wystarczy tylko log z wynikami usuwania.

 

 

PS. Co to za rodzaj monitora:

 

O4 - HKLM..\Run: [mause] C:\Users\Public\SysSettings\mause.exe (System monitoring software)

 

 

.

[robert1305]

Witam

Nie znam sie na tym i dostalem taki skrypt jako odpowiedz.

W ząłaczniku raport

07172012_132420.txt

[picasso]

Nie odpowiedziałeś mi na pytanie co to za monitoring "mause" w starcie. Tak poza tym, są tu również na dysku takie pliki (nasuwają skojarzenia, że są powiązane jakoś), czy wiesz co to jest (a jeśli nie = skasuj):

 

 

[2012-05-08 19:31:27 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\e4868ff9

[2012-05-08 19:31:27 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\d60ff02a

[2012-05-08 19:30:26 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\dea2c048

[2012-05-08 19:30:26 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\db3c87b7

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7b753820

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7a8e3b60

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7a1d2f5b

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\79c9c9d8

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7971d9db

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\77c14c76

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7737a375

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7637572d

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\75f88775

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7282d1fc

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\7206cafe

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\71af5f89

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\711eb146

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\6ffae1b0

[2012-05-08 19:29:46 | 000,004,638 | ---- | C] () -- C:\Documents and Settings\Robert\Dane aplikacji\6f5e0900

[2012-05-06 10:21:29 | 007,770,112 | ---- | C] () -- C:\Documents and Settings\Robert\s-1-5-21-854245398-1606980848-1417001333-1004.rrr

 

 

Skrypt pomyślnie wykonany. Przejdź do wykończeń:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe (za to inne odpadki narzędzia widoczne), pobierz więc ponownie na Pulpit (KLIK). W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Robert\Pulpit\ComboFix.exe" /uninstall

 

2. W OTL uruchom Sprzątanie + przez SHIFT+DEL skasuj katalog C:\windows\erdnt.

 

3. Wykonaj podstawowe aktualizacje: KLIK. Tutaj wyraz z Twojej listy zainstalowanych co jest widoczne:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java™ 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 4.6.2

 

 

PS. Uwaga poboczna na temat Gadu-Gadu 10. Jest to potwór jedzący zasoby systemowe. Sugeruję oglądnięcie alternatyw z obsługą sieci Gadu: WTW, AQQ, Kadu, Miranda. Opisy w temacie Darmowe komunikatory.

 

 

.

[robert1305]

Witam

Wykonałem wszystko wg uwag.

Monitor jest moj do monitorowania pracy komputera.

Jak sie można na przyszłość uchronić aby taki problem juz nie wystapił?

Dziękuje za pomoc

[picasso]

Jak sie można na przyszłość uchronić aby taki problem juz nie wystapił?

 

Dyskusja na temat źródeł i przyczyn tej infekcji: KLIK. Aktualizacje (m.in. dziurawa Java) zadane nie bez przyczyny.

 

 

.