Ukash zablokowany komputer

[Marko777]

Witam szukam pomocy z wirusem ukash, zrobiłem logi. Mógłbyś ktoś pomóc

Extras.Txt

OTL.Txt

[picasso]

Na przyszłość na temat używania ComboFix: KLIK. A samo działanie programu musi zostać zweryfikowane.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TURegOpt] C:\Users\fitnes\AppData\Local\Microsoft\Windows\2449\TURegOpt.exe ()
SRV - File not found [Auto | Stopped] --  -- (Vivotek_ST3402)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\vvftUVC.sys -- (vvftUVC)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VMUVC.sys -- (VMUVC)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\pmxdrv.sys -- (pmxdrv)
DRV - File not found [Kernel | System | Stopped] -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9A0773DD-1352-46F8-8B74-CA35E93E767F}\MpKsld780da2b.sys -- (MpKsld780da2b)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\fitnes\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\GIGABYTE\ET6\i386\AODDriver.sys -- (AODDriver)
 
:Files
C:\Users\fitnes\AppData\Local\Microsoft\Windows\2449
C:\Users\fitnes\AppData\Roaming\hellomoto
C:\Users\fitnes\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez ComboFix (nie uruchamiaj narzędzia ponownie).

 

 

 

.

[Marko777]

Ok zrobiłem, wykonałem skrypt i z combofix znalazłem na dysku c log to chyba ten

OTL.Txt

ComboFix.txt

[picasso]

Wszystko poprawnie usunięte, ale ciekawa sprawa, w nowym logu są nowe obiekty (uprzednio niewidoczne w pierwszym OTL). Czyli kolejny wpis UKASH choć pusty:

 

O4 - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe File not found

 

... oraz ukryty plik:

 

[2012-08-28 15:52:12 | 000,000,090 | RHS- | C] () -- C:\Windows\System32\winrgb32.dll

 

ComboFix go już kasował (czyli musiał nastąpić nawrót infekcji):

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
 
c:\windows\system32\winrgb32.dll

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe File not found
 
:Files
C:\Windows\System32\winrgb32.dll
C:\Users\Administrator\AppData\Local\Microsoft\Windows\912
C:\Users\Administrator\AppData\Roaming\hellomoto
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz zaległy log z GMER.

 

 

.

[Marko777]

Witam, dołączam nowy log OTL i gmer

OTL.Txt

gmer.txt

[picasso]

Wspominane obiekty jakoby zostały usunięte.

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\temp\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

2. Wykonaj skanowanie w Kaspersky Virus Removal Tool. Przedstaw wynikowy raport, o ile coś zostanie znalezione (tylko wyniki "Detected" mnie interesują, inne nie).

 

 

.

[Marko777]

Dziękuje bardzo. Skanowanie Kaspersky Virus Removal Tool nic nie wykazało. Komputer działa bez zarzutu, jedyny minus to inne komputery widzą mój komputer w sieci ale nie mogą wejść na pliki udostępnione I są pliki udostępnione, nie da się wejść na ten komputer. Jest ta sama grupa robocza i udostępnianie włączone. Nie wiem czy to może ten wirus to zrobił bo wcześniej działało. Ale i tak dziękuje.

[picasso]

1. Odinstaluj skaner Kasperskiego, o ile już to nie nastąpiło. Zamknięcie okna tym skutkuje.

 

2. Napraw błąd WMI numer 10 z Dziennika zdarzeń bazując na instrukcjach: KB950375.

 

3. Zaktualizuj podstawowe oprogramowanie: KLIK. Konkretnie z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> pakiet SP3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla Firefox)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla IE)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
"Mozilla Thunderbird (3.1.14)" = Mozilla Thunderbird (3.1.14)

 

+ Service Pack dla Microsoft SQL Server 2008 + SQL Server 2008 R2: KB968382 / KB2527041

 

 

jedyny minus to inne komputery widzą mój komputer w sieci ale nie mogą wejść na pliki udostępnione I są pliki udostępnione, nie da się wejść na ten komputer. Jest ta sama grupa robocza i udostępnianie włączone.

 

Czy we Właściwościach plików / folderów udostępnionych w karcie Uprawnienia jest ustawiony dostęp (odczyt) dla grupy Wszyscy?

 

 

.

[Marko777]

Tak jest ustawiony dostęp dla grupy wszyscy

[picasso]

Jaki konkretnie błąd otrzymujesz podczas próby dostania się do zasobów udostępnionych?

[Marko777]

system windows nie moze uzyskać dostepu do \\nazwa_kompa

 

Sprawdz pisownie nazwy. Możliwe również że wystapił problem z siecią

 

kod błędu 0x80070035

Nie można odnaleźć ścieżki sieciowej

[picasso]

Zweryfikuj ewentualną ingerencję Norton Internet Security (przykład: KLIK).

[Marko777]

Sprawdziłem ingerencje i to nie wina Nortona, poza tym wcześniej działało na nortonie.

[picasso]

Ja jednak nie jestem przekonana, bo to silny podejrzany (ingerencja w tych sferach sieciowych), w przeciwieństwie do usuwanej tu infekcji (brak takich zachowań, to nie ten poziom w ogóle), a wcześniejsza sprawność nie jest dowodem (rzeczy się mogą "psuć"). NIS zresztą nie da się wyłączyć w 100%, te opcje w interfejsie nie załatwiają sprawy, tylko pełna deinstalacja daje 100% pewności. Na razie NIS zostawiam, ale może do niego wrócę. Sprawdź na razie to:

 

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń, co ujawni gałąź Sterowniki niezgodne z Plug and Play. Na tej liście dwuklik w sterownik NETBT. Sterownik ma mieć Typ startowy System i stan Uruchomiono. Jeśli coś się nie zgadza, przekonfiguruj i zresetuj system.

 

 

.

[Marko777]

Jedyna zmiana to był stan: automatycznie. Ustawiłem na stan: uruchomiono i zresetowałem. Ale dalej nie działa

[picasso]

W takim układzie obstaję za kolejną weryfikacją Nortona. Opisz mi co w nim sprawdzałeś i jak. Czy próbowałeś także zresetować wszystkie reguły do poziomów domyślnych?

[Marko777]

Zresetowałem wszystkie reguły Nortona do ustawień domyślnych. Wyłączałem automatyczna ochrone i zapore w ustawieniach nortona choć wiadomo że to nie jest tak do końca wyłączone. Komputer jest ustawiony w sieci prywatnej. DHCP jest włączone. Router tez widzi komputer ale to wiadomo bo internet działa. Jak dodawałem poświadczenia różne w kontach użytkownika to też nic nie dało. Jak usuwałem poświadczenia to tak samo. Firewall w windows tez jest wylaczony

[picasso]

Firewall w windows tez jest wylaczony

 

Sprawdź czy coś zmieni układ: włączona Zapora Windows przy wyłączonym firewallu Nortona. Dodaj też log z Farbar Service Scanner.

 

 

.

[Marko777]

Testowałem rózne opcje z zaporami, ale to nie zmieniło stanu rzeczy. Dołączam log. Odinstalowałem nortona i bez antywirusa też nie działało udostępnianie. Zainstalowałem Kasperskiego i też nie działa

FSS.txt

[picasso]

Zupełnie nic z tego dla mnie nie wynika. A w Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zarządzaj połączeniami sieciowymi > Właściwości konkretnego połączenia > Udostępnianie plików i drukarek w sieciach jest zaznaczone?

 

 

.

[Marko777]

Udostępnianie plików i drukarek w sieciach jest jest włączone. Chyba dam sobie spokój z tym udostępnianiem. Mimo wszystko dziękuję za pomoc bo odblokowanie kompa to była istotna naprawa.