Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

UKASH - naruszenie prawa polskiego

macburz

Przez macburz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

macburz

macburz

Opublikowano
Opublikowano

Witam,

przeglądając dziś internet nagle pokazał mi się komunikat blokujący komputer o rzekomym naruszeniu prawa polskiego i konieczności zapłaty 500 zł. celem odblokowania

przeczytałem na Waszej stronie, żeby zeskanować laptopa via OTL - co uczyniłem - wyniki w załączeniu

proszę o pomoc !!!

pozdrawiam macburz

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Uruchamiałeś jakiś skrypt do OTL. Nie wolno brać sobie skryptów z innych tematów, nie pasują, a przez nieszczęśliwy zbieg okoliczności jeszcze można sobie coś uszkodzić.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1001\..\SearchScopes\{06B14924-FFC8-4F95-8EC4-E1412062E2E0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=43E56CCA-3240-40EB-880D-EB2A81B59B7B&apn_sauid=F2219714-72D9-4059-9E6F-684E7E82A2E6&"
IE - HKU\S-1-5-21-4141374535-311919606-3590139362-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
O4 - HKU\S-1-5-21-4141374535-311919606-3590139362-1001..\Run: [yxbixxdvjhi] C:\Users\MACIEJ\AppData\Roaming\mrkyqrii.exe ()
O7 - HKU\S-1-5-21-4141374535-311919606-3590139362-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20:64bit: - HKLM Winlogon: Shell - (C:\ProgramData\mrkyqrii) - C:\ProgramData\mrkyqrii.exe ()
[2012/09/09 15:14:26 | 000,095,744 | ---- | M] () -- C:\Users\MACIEJ\AppData\Local\mrkyqrii.exe
[2012/09/09 15:14:26 | 000,095,744 | ---- | M] () -- C:\Users\MACIEJ\0.24166066015947774.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Conduit Engine, MyAshampoo Toolbar.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

macburz, do uzupełniania wypowiedzi bądź poprawek błędnym postów służy opcja Edytuj, a nie pisanie post pod postem. Sklejam. Wymagane poprawki, otóż wskoczył jakiś nowy (choć pusty) wpis w wartości Shell (z niej był usuwany wcześniej inny obiekt trojana), należy też usunąć szczątki po adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20:64bit: - HKLM Winlogon: Shell - (C:\Users\MACIEJ\AppData\presentation foundation\dotnetassistan) -  File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[reboot]

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ja sądzę, że sprawa nie jest rozwiązana. Jest bardzo podejrzany wpis startowy, który wzbrania się przed usuwaniem. Prawdopodobnie jest tu ukryta infekcja. Proponuję zrobić skan z poziomu płyty Kaspersky Rescue Disk. Skaner domyślnie nie zapisuje raportu, ręcznie należy to zrobić, wskazując jako miejsce docelowe dysk z Windows (nie pomyl się i nie zapisuj "wirtua;nie do RAM").

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skoro katalogu niby nie ma, to spróbuj ręcznie zedytować rejestr:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

W środku dwuklik na wartość Shell i wymaż odnośnik do C:\Users\MACIEJ\AppData\presentation foundation\dotnetassistan. Ma zostać tylko odnośnik do explorer.exe.

 

2. Zresetuj system. Zrób nowy log z OTL z opcji Skanuj.

 

 

 

.

 

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tylko log główny, Extras mi niepotrzebny po raz drugi i go usuwam. No i teraz zadanie okazało się wykonalne. Nie wiem dlaczego OTL nie potrafił tego zrobić.

 

1. Ale ... popełniłeś błąd przy edycji:

 

O20:64bit: - HKLM Winlogon: Shell - (explorer.exe.) - C:\Windows\explorer.exe (Microsoft Corporation)

 

Dodałeś kropkę na końcu, to była kropka kończąca zdanie a nie dane do edycji. Ma tam stać explorer.exe a nie explorer.exe., czyli wejdź ponownie do rejestru i usuń kropkę końcową.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows (brak SP1) i wyliczone poniżej aplikacje. Szczegóły: KLIK.

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski ----> doinstaluj SP1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Google Chrome" = Google Chrome 17.0.963.56

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
zalecenia w końcu wykonane - czy jeszcze masz jakieś sugestie?

 

To koniec czyszczenia systemu.

 

 

  Cytat
jaki program antywirusowy polecasz?

 

Wychodzę z założeń, że obojętny wybór z linii producentów wiodących jest w porządku, dopóki użytkownik potrafi obsłużyć program i zrozumieć komunikaty. Antywirus nie zastąpi też myślenia, jest to pomocniczy automat i tylko automat.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...