Skocz do zawartości

Komputer zablokowany - ukash


tedyk

Rekomendowane odpowiedzi

Witam.Wywaliło mi niby strone policyjną mam zapłacic zeby odblokowali kompa (od razu)Biały ekran brak jakiejkolwiek możliwosci działania,chciałem uruchomic kompa w trybie awaryjnym , ale miałem do wyboru opce napraw ,wybrałem ,komp odpalił normalnie ale wolno działa .Przeskanowałem avastem niby nic nie znaleziono ,ALE nie moze przeskanowac wszystkich plików i obawa czy nic nie siedzi i nie stwarza zagrożenia.Poczytałem troszke na forach że potrzebne logi z otl , pobrałem program ma m logi zaraz wkleje i mam WIELKĄ prośbe tłumaczyc jak chłopu na roli co robic (komputery nie moja dziedzina)

logi

prosze o pomoc

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pomyliłeś się, tu wcale nie został dołączony log Extras, dodałeś dwa razy główny plik OTL (jeden pod zmienioną nazwą na "Extras"). Usuwam wadliwy załącznik.

 

 

chciałem uruchomic kompa w trybie awaryjnym , ale miałem do wyboru opce napraw ,wybrałem ,komp odpalił normalnie ale wolno działa

 

Wolne działanie systemu nie wydaje się powiązane. W raportach brak oznak czynnej infekcji, są jedynie szczątki i adware, a to nie może mieć tak wybitnego wpływu na kondycję. Doczyść:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\sldedqltgynnzuo
C:\Users\win7\AppData\Roaming\msconfig.dat
C:\Users\win7\AppData\Roaming\mozilla\firefox\profiles\0hkrnwil.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Users\win7\AppData\Roaming\mozilla\firefox\profiles\0hkrnwil.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=3012_1&babsrc=KW_ss&mntrId=bc45b8830000000000004061865fadf3&q="
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3AB8AD32-3CF7-4DD6-98CC-0F6BD59FB83C}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120302185058032&tb_oid=02-03-2012&tb_mrud=02-03-2012"
IE - HKCU\..\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}: "URL" = "http://flv.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-113-11-OpOu"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_1&babsrc=SP_ss&mntrId=bc45b8830000000000004061865fadf3"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=328B4E2B-4618-4891-A964-CB09B77B4015&apn_sauid=DCA4B576-14AA-497A-B519-271BC87EB827&"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3AB8AD32-3CF7-4DD6-98CC-0F6BD59FB83C}"
IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found
IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
IE - HKCU\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj, włącznie z Extras (opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania", by powstał ten plik). Dołącz log z usuwania AdwCleaner z punktu 2.

 

 

 

.

Odnośnik do komentarza

tedyk, do poprawiania / uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Trzy posty powyżej skleiłam w jeden. Zadania czyszczące pomyślnie wykonane. Przejdź do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Odnośnik do komentarza

Skoro MBAM nic nie wykrył, jego raport zbędny, bo nie ma co oglądać. Usuwam ten załącznik.

 

Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie w systemie widać wersje:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

+ Service Pack dla Microsoft SQL Server 2008 R2: KB2527041

 

 

 

.

Odnośnik do komentarza

Log Extras mi niepotrzebny (usuwam), bo nic nie uległo zmianie od czasu moich zaleceń (nadal nie zaktualizowane aplikacje). Tu już coś było usuwane wstępnie (czym?), bo w logu są tylko resztki infekcji. Wariant UKASH inny niż poprzednie.

 

1. Przez SHIFT+DEL skasuj z dysku ten folder:

 

C:\Users\win7\AppData\Roaming\hellomoto

 

2. Wyczyść foldery Przywracania systemu.

 

3. Wszystkie zalecenia aktualizacyjne nadal aktualne.

 

 

 

.

Odnośnik do komentarza

to był trojan Ransom.FGen,skanowałem system mbam-em wykrył własnie tą infekce dałem usuń i go usuwał , ale po kolejnym odpaleniu niestety tylko w trybie awaryjnym ten folder z 2 plikami był znowu w tym samym miejcu.Zrobiłem przywracanie systemu i moze to spowodowało jego usuniecie i zostały tylko jakies resztki.Ale po przywróceniu systemu czarna tapeta ,system nie oryginalny takie powiadomienie wyskakuje i problem "solve a problem with WinRAR".Prosze doradz czy warto moze postawic nowy system.

A i jescze jedno gdy chciałem aktualizowc niekture programy to własnie znikała tapeta i pojawiało sie powiadomienie o nieoryginalnym windowsie.

Czy konieczne jest zmienienie loginów i haseł do banku ,poczty itp

Odnośnik do komentarza
Zrobiłem przywracanie systemu i moze to spowodowało jego usuniecie i zostały tylko jakies resztki.Ale po przywróceniu systemu czarna tapeta ,system nie oryginalny takie powiadomienie wyskakuje i problem "solve a problem with WinRAR".Prosze doradz czy warto moze postawic nowy system.

 

Już od pierwszego raportu OTL Extras widać w Dzienniku zdarzeń taki błąd:

 

Error - 2012-10-04 00:52:48 | Computer Name = win7-PC | Source = Winlogon | ID = 4103

Description = Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.

 

Czy ten Windows jest oryginalny i nie crackowany?

 

 

Czy konieczne jest zmienienie loginów i haseł do banku ,poczty itp

 

Przy UKASH nie sądzę, by to było potrzebne.

 

 

.

Odnośnik do komentarza

windows raczej nie jest oryginalny, gdy wyskoczyło mi powiadomienie ze są nowe aktualizacje i zeby aktualizowac to przy nastepnym uruchomieniu tapeta znikła ,jest czarne tło a wprawym dolnym rogu napis"windows7 build 7601this copy of windows is not genuine" czyli nie jest oryginalny.Natomiast po przywróceniu systemu przy kazdym starcie wyskakuje okno aby pobrac oryginaly widows.A teraz sie upokorzę , czy Windows tak jak pisze w moim przypadku moze byc kopią oryginalnego jest crackowany i wtedy bedzie informacja ze jest nieoryginalny.

Jakiego antywirusa uzywac, własnie przed chwilą przeglądając onet pojawiło sie okienko iznikneło zdązyłem zobaczyc tylko ze Malwarebytes zalokował cos jakis krutki ciąg cyfr który wychodził z awasta.

Odnośnik do komentarza

tedyk, napisałeś to w taki sposób, że mam trudności z wyłuszczeniem zasadniczego wątku. Chodzi mi o 100% potwierdzenie pochodzenia Windows, czy legalny czy nie. Czyli z jakiej płyty Windows był instalowany, czy wprowadzano legalny oryginalny klucz i czy mieszano coś crackami. Jeśli to piracki Windows 7, te komunikaty są normalne i tu kończy się moja interwencja. Jeśli to Windows oryginalny na autentycznym kluczu, wręcz przeciwnie i należy to zdiagnozować.

 

 

Jakiego antywirusa uzywac, własnie przed chwilą przeglądając onet pojawiło sie okienko iznikneło zdązyłem zobaczyc tylko ze Malwarebytes zalokował cos jakis krutki ciąg cyfr który wychodził z awasta.

 

Dyskusja na temat tej infekcji: KLIK. I może rozważ komercyjną wersję Malwarebytes, rezydent ma mechanizmy blokujące serwery malware oraz system prewencji uruchomieniowej.

 

 

.

Odnośnik do komentarza

windows był instalowany w sklepie gzdie kupowałem kompa,a windowsa postawili tylko dlatego ze pracował tam znajomy znajomego,a płyty zadnej i klucza nie dostałem ,czyli pirat, kiedy zrobiłem pierwszą aktualizacje recznie ,wczesniej odbywała sie przy wyłanczaniu komputera ,wyskakiwał komunikat ze sie aktualizuje i zeby nic nie robic było wszystko ok, a przy recznej aktualizacji zaczeły sie pojawiac komunikaty ze nieoryginalny, czarna tapeta, i prawy dolny róg napis ze kopia nieoryginalna

Odnośnik do komentarza
windows był instalowany w sklepie gzdie kupowałem kompa,a windowsa postawili tylko dlatego ze pracował tam znajomy znajomego,a płyty zadnej i klucza nie dostałem ,czyli pirat

 

Jeżeli jest pewność, że to pirat, to ja nie widzę innego wyjścia niż: zdobyć legalny klucz i zaktywować prawidłowo posiadany Windows lub przeinstalować system przy udziale innego legalnego nośnika.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...