Zablokowany komputer

[tomek87]

witam, temat juz chyba znany, mam zablokowany komputer i zadaja ode mnie oplaty za odblokowanie. na forum wp.pl przeczytalem ze odblokowac go mozna przez program combofix ktory mi wygenerowal plik .txt ktory przesylam w zalaczniku. prosze o dalsza instrukcje/kroki

 

pozdr.

log.combofix.txt

[Landuss]

Źle przeczytałeś, u nas są inne zasady, które mówią wręcz przeciwnie - by nie stosować ComboFix na własną rękę.

 

Wykonaj raporty z OTL

[tomek87]

ok, wykonalem raporty z OTL i prosze o nastepne kroki. moj komp. nie reaguje na nic, nie moge nic zrobic a posty pisze z komputera syna, jestem z belgii, stawke mam w euro i ten komunikat o wplacie kasy mam po holendersku (nie wiem czy to cos pomoze)

 

oto raporty:

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=BE&install_date=20110926&user_guid=6D04C0FB9ACE4FBFA457EA06B98D121E&machine_id=23ed9d641fff3dc29399c03424e2dacf&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}"
IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Faceb662.url ()
O4 - Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk = C:\Users\Tommy\AppData\Roaming1.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-543984391-606257222-1702330859-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Yontoo Layers 1.10.01 / Ask Toolbar (KMPlayer Toolbar) / MediaBar / Conduit Engine / DAEMON Tools Toolbar / Download Energy Toolbar / gry Toolbar / StartNow Toolbar / uTorrentBar_NL Toolbar / Winamp Toolbar / KMPlayer Toolbar Updater

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[tomek87]

po pierwsze chcialem Ci podziekowac za pomoc, moj komputer pomalu zaczyna "normalniec" hehe. czasami wylacza mi sie niespodziewanie i skanuje mi dysk, nie wiem czym jest to spowodowane.

 

 

chcialem jeszcze tylko dodac ze z ta normalnoscia to w sumie problem sie zrobil bo srednio co 15-20min komputer sam mi sie restartuje, a dokladniej pojawiaja sie biale literki na niebieskim tle i caczyna sie odliczanie proc od 0 do 100i pafff... wlacza sie od nowa. przyznaje ze to dosc uciazliwe bo tego posta proboje trzeci raz edytowac:/ prosze o pomoc, bo to chyba nie jest normalne zachowanie sie po infekcji, nie?

 

oto raporty:

OTL2.Txt

[Landuss]

Zrób screena i wstaw na forum żebym widział jak ta plansza wygląda bo to na pewno normalne nie jest. Infekcja zaś masz usuniętą.

[picasso]

To jest BSOD z restartem, na dysku odświeżony co dopiero katalog ze zrzutami pamięci:

 

[2012-08-19 13:17:58 | 000,000,000 | ---D | C] -- C:\windows\Minidump

 

tomek87 o ile ten katalog nie jest pusty, skopiuj go na Pulpit, spakuj do ZIP > na hosting > podaj tu link do paczki.

 

 

 

.

[tomek87]

http://www.sendspace...26fe1bd3c34a611

 

oto minidump.rar

 

nie mam zielonego pojecia jak czytacie te pliki of co z nimi robicie ale podziwiam was;] pewnie zaczynaliscie od atari przez amige i (hehe)pegazusa po teraz:]

 

pzdr.

 

 

a tu dodaje jeszcze fotki jak to u mnie wyglada. musialem je robic tel.

 

na 1 fotce widac ekran gdy komp. sie zawiesza

na 2, 3 i 4 zaraz gdy sie ponownie wlaczy wyskakuje komunikat "windows has recovered from an unexpected shutdown"...

 

 

http://www.sendspace.pl/file/d6c07ee953b22f7d15929b6

[picasso]

Wszystkie BSOD punktują sterownik NETIO.SYS:

 

*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************
 
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0000000000000028, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff88001811b2d, address which referenced memory
 
Debugging Details:
------------------
 
 
READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800054b8100
 0000000000000028 
 
CURRENT_IRQL:  2
 
FAULTING_IP: 
NETIO!RtlCopyBufferToMdl+1d
fffff880`01811b2d 448b5228        mov     r10d,dword ptr [rdx+28h]
 
CUSTOMER_CRASH_COUNT:  1
 
DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT
 
BUGCHECK_STR:  0xD1
 
PROCESS_NAME:  System
 
TRAP_FRAME:  fffff880035a0660 -- (.trap 0xfffff880035a0660)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff880035a0880 rbx=0000000000000000 rcx=0000000000000000
rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
rip=fffff88001811b2d rsp=fffff880035a07f0 rbp=fffff880035a0920
 r8=00000000ffffffbc  r9=0000000000000044 r10=0000000000000000
r11=fffffa8007388420 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl zr na po nc
NETIO!RtlCopyBufferToMdl+0x1d:
fffff880`01811b2d 448b5228        mov     r10d,dword ptr [rdx+28h] ds:0290:00000000`00000028=????????
Resetting default scope
 
LAST_CONTROL_TRANSFER:  from fffff80005288769 to fffff800052891c0
 
STACK_TEXT:  
fffff880`035a0518 fffff800`05288769 : 00000000`0000000a 00000000`00000028 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
fffff880`035a0520 fffff800`052873e0 : fffffa80`06cbaa78 fffffa80`06cba010 fffffa80`06ce9d78 00000000`00000044 : nt!KiBugCheckDispatch+0x69
fffff880`035a0660 fffff880`01811b2d : 00000000`00000016 fffff880`01ac61cc 00000000`00000018 fffffa80`03a78e68 : nt!KiPageFault+0x260
fffff880`035a07f0 fffff880`01b530cc : 00000000`00000000 fffff880`01b216b6 00000000`00000001 fffff880`0535900f : NETIO!RtlCopyBufferToMdl+0x1d
fffff880`035a0850 fffff880`01b1eca3 : fffffa80`07388420 00000000`00000001 fffffa80`043a7210 00000000`00000000 : tcpip! ?? ::FNODOBFM::`string'+0x1d1ef
fffff880`035a08c0 fffff880`01b11a84 : fffff880`035a0d78 fffffa80`00000029 fffffa80`043a7210 00000000`00000001 : tcpip!TcpTcbCarefulDatagram+0x543
fffff880`035a0a70 fffff880`01b103aa : fffffa80`0460b900 fffff880`01b09294 fffffa80`045cd4c0 00000000`00000000 : tcpip!TcpTcbReceive+0x694
fffff880`035a0c20 fffff880`01b11fdb : fffff880`0544a070 fffffa80`0472b000 00000000`00000000 fffff880`035a0f00 : tcpip!TcpMatchReceive+0x1fa
fffff880`035a0d70 fffff880`01b09927 : fffffa80`0460b900 fffffa80`0460b3fa fffffa80`000094cc 00000000`000094cc : tcpip!TcpPreValidatedReceive+0x36b
fffff880`035a0e40 fffff880`01b0949a : 00000000`00000000 fffff880`01c1d800 fffff880`035a1000 fffffa80`06cbaa78 : tcpip!IppDeliverListToProtocol+0x97
fffff880`035a0f00 fffff880`01b08a99 : fffffa80`08807900 00000000`00000000 fffffa80`00000000 fffff880`035a0ff0 : tcpip!IppProcessDeliverList+0x5a
fffff880`035a0fa0 fffff880`01b067ff : 00000000`00000000 00000000`06c7b000 fffff880`01c1d800 fffff880`01c1d800 : tcpip!IppReceiveHeaderBatch+0x23a
fffff880`035a1080 fffff880`01b05df2 : fffffa80`06c5bf70 00000000`00000000 fffffa80`06c7b000 00000000`00000001 : tcpip!IpFlcReceivePackets+0x64f
fffff880`035a1280 fffff880`01b7e2ea : fffff880`031c22d0 fffffa80`03a5c700 fffffa80`06c7b010 fffffa80`045fb938 : tcpip!FlpReceiveNonPreValidatedNetBufferListChain+0x2b2
fffff880`035a1360 fffff800`05294e48 : fffff880`035a1620 fffffa80`00000000 fffffa80`036fd660 00000000`00000001 : tcpip! ?? ::FNODOBFM::`string'+0x52f02
fffff880`035a13b0 fffff880`01b05952 : fffff880`01b051b0 fffffa80`0422ea20 fffff880`035a1500 00000000`00000001 : nt!KeExpandKernelStackAndCalloutEx+0xd8
fffff880`035a1490 fffff880`0198a0eb : fffffa80`06c7b8d0 00000000`00000000 fffffa80`04c3c1a0 00000000`00000000 : tcpip!FlReceiveNetBufferListChain+0xb2
fffff880`035a1500 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ndis!ndisMIndicateNetBufferListsToOpen+0xdb
 
 
STACK_COMMAND:  kb
 
FOLLOWUP_IP: 
NETIO!RtlCopyBufferToMdl+1d
fffff880`01811b2d 448b5228        mov     r10d,dword ptr [rdx+28h]
 
SYMBOL_STACK_INDEX:  3
 
SYMBOL_NAME:  NETIO!RtlCopyBufferToMdl+1d
 
FOLLOWUP_NAME:  MachineOwner
 
MODULE_NAME: NETIO
 
IMAGE_NAME:  NETIO.SYS
 
DEBUG_FLR_IMAGE_TIMESTAMP:  4ce79381
 
FAILURE_BUCKET_ID:  X64_0xD1_NETIO!RtlCopyBufferToMdl+1d
 
BUCKET_ID:  X64_0xD1_NETIO!RtlCopyBufferToMdl+1d
 
Followup: MachineOwner
---------

 

Na początek odinstaluj pakiet McAfee SecurityCenter i zobaczymy co się stanie. W razie problemów wejdź w Tryb awaryjny Windows i zapuść specjalizowane narzędzie deinstalacyjne McAfee Consumer Products Removal tool.

 

 

 

.

[tomek87]

witam,

co do wczesniejszego tematu to latwiej mi bedzie przeinstalowac system, bo i tek musze utworzyc nowa partycje na dysku. dzieki wielkie za pomoc.

 

ale teraz mam nowy problem, na drugim komputerze pojawil sie ukash... wykonalem raporty z mirrow'ra OTL ktore zalaczam ponizej. za pomoc z gory thx, pzdr.

OTL.Txt

Extras.Txt

[picasso]

co do wczesniejszego tematu to latwiej mi bedzie przeinstalowac system

 

Ale czy sprawdziłeś koncepcję z McAfee?

 

 

na drugim komputerze pojawil sie ukash...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3755043522-2872990137-428596698-1000..\Run: [tsbcmbrkjqolxam] C:\ProgramData\tsbcmbrk.exe ()
[2012-09-15 00:16:50 | 000,000,000 | ---D | C] -- C:\ProgramData\mhnkaetejrxekkp
[2012-09-15 00:16:54 | 000,086,327 | ---- | M] () -- C:\ProgramData\ppdnbfbtvecxjlh
 
:Services
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

 

.

[tomek87]

Ale czy sprawdziłeś koncepcję z McAfee?

 

yep, odinsalowalem mc'a, zobaczymy czy juz nie bedzie sie restartowal. w tym czasie robi sie skan 2giego. o mam juz raporty, zalaczam je ponizej.

 

zajmujesz sie tym zawodowo, czy to Twoje hobby/zainteresowanie? tzn pracujesz jako informatyczka, czy to poprostu Cie kreci;)?

 

a i mam jeszcze jedzn problem, tylko nie wiem czy moge go tu opisac czy musze zalozyc nowyt emat, mianowicie mam 2 rowne partycje na dysku 500gb (c:/, d:/) z tym ze na dysku d mam pliki o poj 105gb a ciagle mi wyskakuje komunikat o braku miejsca na d... jesli przeniose dane z d na c i dysk d podam formatowi a pozniej dane przerzuce z powrotem z c na d to pokazuje prawidlowo miejsce na dysku ale tylko przez pierwszy dzien, bo z kazdym kolejnym dniem miejsca na dysku d jest coraz mniej, a plikow na nim tyle samo. moim zdaniem ma to cos wspolnego z przywracaniem systemu, ale sam juz nie wiem. szukalem rozwiazania w necie ale nic nie znalazlem, tzn nie pod windows'a.

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta.

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku inwentarz OTL oraz szczątki nieprawidłowo odinstalowanego ComboFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje aktualnie widziane w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.1.10329.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Google Chrome" = Google Chrome 21.0.1180.83

 

4. Przy okazji ... notuję, że tu jest bieda z RAMem. Pomyśl o inwestycji w kości.

 

746,90 Mb Total Physical Memory | 173,45 Mb Available Physical Memory | 23,22% Memory free
1,73 Gb Paging File | 0,67 Gb Available in Paging File | 38,73% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

 

 

na dysku d mam pliki o poj 105gb a ciagle mi wyskakuje komunikat o braku miejsca na d... (...) z kazdym kolejnym dniem miejsca na dysku d jest coraz mniej, a plikow na nim tyle samo

 

Podglądnij zawartość tego dysku analizerem dedykowanym: SpaceSniffer. Jeśli system to Windows 7 lub Vista, z prawokliku na SpaceSniffer "Uruchom jako Administrator".

 

 

zajmujesz sie tym zawodowo, czy to Twoje hobby/zainteresowanie?

 

Hobby.

 

 

.

[tomek87]

http://www.sendspace...66ded1995013f9e to link do spicesniffer, tzn zrzut ekranu po skanowaniu patycii d dysku mojego komp. tak ajk przypuszczalem sporo miejsca na dysku zabiera mi moj backup, ale jak moge to hmm, zredukowac/naprawic? sporo miejsca to przesadzone slowo, moj backup zabieram mi prawie polowe czyli 118gb - to chyba nie jest normalnie, nie?

 

 

4. Przy okazji ... notuję, że tu jest bieda z RAMem. Pomyśl o inwestycji w kości.

 

hehe nom nie jest zaciekawie ale to lapek mojego syna (4lata) i jak na jego wiek/mozliwosci jest chyba wystarczajaco. zreszta to maly acer'ek aspire one dual core z zegarem 1.333ghz 1gb ddr3 i 320gb hdd. jak na first touch czterolatka z komputerem jest spoko. nie wiem czy nawet oplacilo by mi sie kupowac nowe kosci ram, poprostu za jakies 2-3lata wymienie malego acer'ka na juz chyba wiekszy lepszy model...

 

 

a zapomnialem calkiem dodac ze powyzsze kroki poslusznie wykonalem a co do wylaczania sie komputera narazie jest ok, tzn nie wylaczyl mi sie od tamtej pory.

 

 

pzdr.

[picasso]

tak jak przypuszczalem sporo miejsca na dysku zabiera mi moj backup, ale jak moge to hmm, zredukowac/naprawic? sporo miejsca to przesadzone slowo, moj backup zabieram mi prawie polowe czyli 118gb - to chyba nie jest normalnie, nie?

 

Backup będzie zajmował miejsce. Jak masz skonfigurowane robienie kopii zapasowej? Porównawczo obrazki z tego tematu gdzie konfiguruje się kopię: KLIK. Chodzi mi o opcje: co ma zawierać ma kopia zapasowa + Zarządzaj miejscem + Harmonogram (jaki czasokres wykonywania kopii dobrany).

 

 

 

.

Edytowane 17 Października 2012 przez picasso
17.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso