Ukash - zablokowany komputer

[Cassius]

Witam

pojawił się u mnie już prawie wszystkim znany problem, udało mi się zrobić logi w OTL-u z konta drugiego użytkownika.

 

Proszę uprawnione osoby o pomoc i instrukcje odnośnie dalszego postępowania.

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: []  File not found
 
:Files
C:\ProgramData\jdxxexfqylsivdn
C:\ProgramData\qvtsxcdvqyxjqev
C:\ProgramData\oqdpwgxi.exe
C:\Users\Admin\0.43852214277382073.exe
 
:Reg
[HKEY_USERS\S-1-5-21-712075426-1988829641-50170292-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"oqdpwgxiyqzfkhs"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Cassius]

A tu mam logi wykonane w trybie awaryjnym na koncie użytkownika, na którym pojawia się blokada komputera.

OTL.Txt

[Landuss]

To nie zmienia faktu, że masz wykonać wszystko co napisałem wyżej.

[Cassius]

Oto nowe logi

OTL.Txt

[Landuss]

Skrypt wykonany a infekcja usunięta. Możesz przejść do kroków finalnych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Cassius]

Pozostał mi problem z uruchomieniem zapory Windows. Podczas próby uruchomienia pojawia się komunikat "zapora systemu Windows nie może zmienić niektórych ustawień. Kod błędu 0x8007042c".

 

Jak sobie można z tym poradzić?

[Landuss]

Wygeneruj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

[Cassius]

Taki log otrzymałem

FSS.txt

[Landuss]

Log pokazuje że jest problem z usługą Podstawowy aparat filtrowania (BFE) i trzeba to naprawić. Wejdź w ten temat: KLIK. Pobierz fixa dotyczącego bfe i zaimportuj do rejestru. Po tym zabiegu wykonaj nowy log z FSS

[Cassius]

Nowy log

FSS.txt

[picasso]

Usługa nie jest uruchomiona. Jeśli to log po restarcie systemu, to podjęte działania to za mało. Trzeba wykonać także pełną rekonstrukcję uprawnień przez narzędzie SetACL dla wszystkich usług: BFE, MpsSvc, SharedAcces. Po tym restart systemu i nowy log z Farbar Service Scanner.

 

 

.

[Cassius]

Taki log dostałem.

 

Źle zrozumiałem ostatni post od Landussa i ściągnąłem plik BFE.txt, a potem według instrukcji zaimportowałem go do rejestru. Co teraz z nim zrobić, bo jest w folderze, w którym mam wszystkie pobierane pliki?

FSS.txt

[picasso]

Usługa BFE była uszkodzona (brakujące fragmenty w rejestrze) = Dobrze zrozumiałeś post Landussa, miałeś pobrać BFE.txt, zmienić mu nazwę na BFE.reg i zaimportować, restart systemu. Po użyciu ten plik jest już nieważny i do kasacji. Tylko jak mówię to jest za mało, połowa zadania. Trzeba z instrukcji wykonać także pełną rekonstrukcję uprawnień. Wątpliwe byś to zrobił, bo log z Farbar niezmiennie twierdzi, że BFE nie jest uruchomiona, a tak się dzieje m.in. wtedy, gdy uprawnienia są złe.

 

 

 

.

[Cassius]

Czynności wykonałem w następującej kolejności, ściągnąłem plik BFE.txt i zgodnie z instrukcjami zaimportowałem go do rejestru. Następnie wykonałem pełną rekonstrukcję uprawnień działając w cmd.exe (zgodnie z instrukcjami na stronie).Potem restart kompuetera i teraz wrzucam log z FSS.

FSS.txt

[picasso]

Jest bez zmian. BFE nie jest uruchomione. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Dwuklik na usługę Podstawowy aparat filtrowania i wywołaj przycisk Uruchom. Jeśli błąd to "Odmowa dostępu" = coś źle wykonane w SetACL i trzeba powtórzyć wszystko od początku w zakresie importu uprawnień via SetACL.

 

 

.

[Cassius]

Pojawia się "błąd 1083: Program wykonywalny, w którym ta usługa (zgodnie z jej konfiguracją) ma być uruchomiona, nie implementuje usługi". W takim przypadku mam ponownie zaimportować uprawnienia?

[picasso]

Błąd wskazuje, że jest tu inny problem. Poproszę o skan dodatkowy na podział grupowy usług. Uruchom SystemLook x64, w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost /s

 

Klik w Look i przedstaw log wynikowy.

 

 

 

.

[Cassius]

Taki wynik dostałem

SystemLook.txt

[picasso]

Skan nie przedstawia usterki. Pokaż mi co w ogóle się zaimportowało do rejestru z pliku REG pobranego stąd z forum. Wytwórz kopię rejestru via RegBack, z kopii wybierz plik SYSTEM > do ZIP > na hosting > podaj tu link.

 

 

 

---

PS. W maliny Cię wpuścili na innym forum, tu już pomoc na samym początku dawno przeszła to co próbowałeś wykonywać tam w późniejszym czasie.

 

 

 

W logu było to:

 

bfe Service is not running. Checking service configuration:

The start type of bfe service is OK.

The ImagePath of bfe service is OK.

The ServiceDll of bfe service is OK.

 

A został Ci podsunięty taki oto import rejestru, rekonfigurujący ... prawidłowy już Start usługi:

 

Do Notatnika wklej:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE]

"Start"=dword:00000002

 

Log z Farbar mówi wyraźnie: wartość Start jest domyślna, jest OK. To nie jest kwestia tego drobnego wpisu. Poza tym, przecież już importowałeś z tego forum cały klucz usługi BFE, o wiele kompletniejszy, ale równocześnie zawierający dokładnie tę frazę ...

 

 

 

Edytowane 28 Sierpnia 2012 przez picasso
28.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso