Ukash - laptop zablokowany pomocy

[misiek434]

Witam proszę o pomoc posiadam laptopa vista i zaatakował ukash znalazłem program combofix przelciał niby ok ,a po włączeniu systemu mieli z 10 minut i lipa wyskakuje okno komp zablokowany .Bardzo Prosze o pomoc

ComboFix wyniki 2.txt

ComboFix wyniki.txt

[Landuss]

ComboFix to nie jest narzędzie do używania w domu na start. I nie o takie logi tutaj nam chodzi. Ale masz dwie infekcje - Weelsof (Ukash) oraz ZeroAccess w związku z tym potrzebne będą dodatkowe raporty.

 

1. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

2. Wykonaj raporty z OTL

[misiek434]

WITAJ ZROBIŁEM JAK MÓWIŁEŚ W ZAŁĄCZENIU PLIKI TEXTOWE .PROSZĘ O DALSZE INSTRUKCJE . POZDRAWIAM

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:17 on 23/07/2012 by Basia

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="%SystemRoot%\system32\shell32.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\erdnt\cache\services.exe --a---- 279040 bytes [13:49 22/07/2012] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\SoftwareDistribution\Download\15d05090e6f876555f2419af621dda9f\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [18:05 25/10/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\System32\services.exe --a---- 279040 bytes [10:01 16/11/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [10:01 16/11/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

 

-= EOF =-

OTL.Txt

Extras.Txt

[Landuss]

Nadwyżkę w postaci innych logów usuwam. Prosiłem cie tylko o logi z SystemLook i OTL, a nie z pozostałych narzędzi.

 

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator > wklep ten tekst:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Basia\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
O4 - HKU\S-1-5-21-1249344888-4186963438-1636653167-1000..\Run: [bOS] C:\BOS\bos.exe ()
 
:Files
C:\BOS
C:\Windows\System32\%APPDATA%
C:\ProgramData\F4D55F3E00014AE4000A155CEEC1FB6E
C:\Users\Basia\AppData\Local\{f5a3f75a-bfc6-9669-536e-94bef391964f}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: Winamp Toolbar

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[misiek434]

Sory nie doczytałem , mam jeszcze pytanie czy po wpisaniu reg ............... .mam dać entera i wyskakuje czy usunąć klucz rejestru i mam dać tak ,bo kurcze nie wiem .

[Landuss]

Tak ten klucz należy usunąć bo to jest od ZeroAccess...

[misiek434]

Witam zrobiłem jak mi pisałem załączam pliki txt. proszę o info co dalej

 

SystemLook 30.07.11 by jpshortstuff

Log created at 16:41 on 24/07/2012 by Basia

Administrator - Elevation successful

 

No Context: reg

 

No Context: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

No Context: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

No Context: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\erdnt\cache\services.exe --a---- 279040 bytes [13:49 22/07/2012] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\SoftwareDistribution\Download\15d05090e6f876555f2419af621dda9f\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [18:05 25/10/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\System32\services.exe --a---- 279040 bytes [10:01 16/11/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [10:01 16/11/2008] [07:33 19/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

 

-= EOF =-

AdwCleanerR1.txt

OTL24.07.12.Txt

FSS.txt

[Landuss]

Log z SystemLook źle zrobiony - nie wkleiłeś prawidłowo słowa :reg (z kropkami). Możesz przejść do dalszych napraw:

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK
  

2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

[misiek434]

Operacja odtwarzania uprawnień kluczy BFE, MpsSvc oraz SharedAccess jest rozpisana w następnym poście. Na tym etapie odtwarzania Zapory należy wykonać wszystkie działania tam opisane.

 

Gdzie mam to znaleźć kurcze w jakim następnym poście sorki ale nie mogę znaleźć

 

Podstawowy aparat filtrowania (BFE)

Zapora systemu Windows (MpsSvc)

Sterownik uwierzytelniania Zapory systemu Windows (mpsdrv)

Udostępnianie połączenia internetowego (ICS) (SharedAccess)

 

Czy mam w tych wszystkich zmienić na reg bo nie wiem który dopasować i wszystkie dać scal

 

Z góry bardzo dziekuje za pomoc

[Landuss]

Masz pobrać, zmienić na .reg i zaimportować. Potem nadać uprawnienia przez SetACL.

[misiek434]

mam jeszcze pytanko gdzie mam zaimportować ten (wuauserv+BITS+EventSystem)pobierz fixa i zaimportuj .pozostałe rzeczy już zrobiłem i jaki program anty wirus najlepiej zainstalować bo avasta coś nie mogę .dziękuje

[Landuss]

Po prostu pobierz to co ci dałem, zmień rozszerzenie na .REG i uruchom. Tyle. A o antywirusie to będziemy na końcu rozmawiać jak zrobisz wszystko i dasz nowego loga z FSS.

[misiek434]

wrzucam loga z FSS

FSS.txt

[Landuss]

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

 

Internet Explorer (Version = 8.0.6001.19088)

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 19

"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

jaki program anty wirus najlepiej zainstalować

 

Avira, MSSE lub ewentualnie Panda Cloud.

[misiek434]

jak próbuje zrobić aktualizacje zgodnie z instrukcją jak daje na viste i services to przekierowuje ipisze przepraszamy nie można odnaleźć szukanej strony

[Landuss]

U mnie nic takiego się nie dzieje. Tu masz link docelowy: http://www.microsoft.com/downloads/details.aspx?FamilyID=891ab806-2431-4d00-afa3-99ff6f22448d&displaylang=en&displaylang=en

[misiek434]

ok już ściągam znalazłem na innej stronce

 

witam juz zrobiłem wszystko bardzo dziękuje ,wielki szacun za wiedze ,na początku sierpnia przeleje pare złotych na konto ,

Jeszcze raz bardzo dziękuje za pomoc

[misiek434]

Witam po zrobieniu laptopa vista system ,po wykonaniu wszystkich czynności które mi pisałeś ,system chodzi tyle tylko że wcześniej od momentu pokazania się pulpitu vista można było na nim śmigać po 2-3 minutach odnajdywał sieć i leciało .Teraz po zmianach system odpala się i mieli mieli 11 minut i po tym czasie dopiero znajduje siec i mozna cokolwiek robić na nim .Pomóż proszę ,czy to w ustawieniach da sie przyspieszyć

 

UKASH TY MI POMAGAŁEŚ USUNĄĆ ,WSZYSTKO ZGODNIE Z INSTRUKCJA TWOJĄ NA KONIEC TEZ WYSYŁAŁEM RAPORT OTL I DLATEGO JESTEM ZDZIWIONY ŻE TAK STRASZNIE POWOLI CHODZI 12 MINUT OD POKAZANIA PULPITU DO MOŻLIWOŚCI ODPALENIA INTERNETU ITD.

W ZAŁĄCZENIU RAPORT OTL

 

PROSZĘ O POMOC

Extras.Txt

OTL.Txt

Edytowane 18 Sierpnia 2012 przez picasso
Tematy sklejone. //picasso

[Landuss]

Tu musi być jakaś inna przyczyna, nie masz żadnej infekcji. Czy ten problem występuje też w trybie awaryjnym?

[misiek434]

zaraz sprawdze i dam znać wcześniej przed zaatakowaniem chodził bez problemu teraz troche wkurzające 12 minut czekać

 

W TRYBIE AWARYJNYM PO 1 MINUCIE MOGE JUZ ODPALAĆ IKONKI I INTERNET NIE DZIAŁA NET ALE STRONA SIE OTWIERA.

JAK WLĄCZYŁEM TERAZ NORMALNIE TO IKONKI NOTATNIKA URUCHAMIAJĄ SIE OD RAZU ALE RESZTA NET PO 12 MINUTACH

[Landuss]

Nie pisz Caps Lockiem. Sugeruję odinstalowanie Aviry na próbę i wtedy zobacz co się stanie.

[picasso]

Oba tematy skleiłam razem.

 

 

Landuss

 

On ma dwa antywirusy zainstalowane równolegle: Avasta i Avirę. To zgroza. Z pewnością to jest przyczyna tak długiego ładowania systemu. Na początku leczenia miał tylko Avasta, to teraz doładował Avirę.

 

 

misiek434

 

Wygląda na to, że ten Avast to udaje odinstalowanego, gdyż nie widzę wejścia na liście zainstalowanych, ale pełną parą na chodzie stare sterowniki programu. To oczywisty konflikt z każdym innym antywirusem i musi to zostać skorygowane. W Trybie awaryjnym zastosuj Avast Uninstall Utility.

 

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso