Zablokowany komputer/internet, wirus Ukash ?

[Stach]

Witam

 

Trochę poczytałem tu i tam i widzę, że problem jest dość popularny, ale oczywiście, nie chce próbować samemu tego naprawiać, żeby coś się nie pogorszyło. Coś tam czytałem, że combofix jest skuteczny... ale nie zawsze i bardzo niebezpieczny, więc nie chce ryzykować ;]

 

Przede wszystkim problem występuje w momencie jak podepnę się pod internet, bez tego komputer działa normalnie. Tzn wyskakuje komunikat: "Polska Policja, Cyberprzestępczość departament... itp"

 

Przeskanowałem kompuer dwa razy przez Avasta, to co się dało wywaliłem, reszta do kwarantanny, niestety problem znowu wyskoczył ; /

 

PS. oczywiście nie wiedziałem, ze samo się zapisuje to i przez przypadek nazwałem OLT zamiast OTL... ahh ; P przepraszam

Extrasstach.txt

OLTstach.txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Stach\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
@C:\WINDOWS\Temp:temp
C:\Documents and Settings\Stach\Dane aplikacji\Mozilla\Firefox\Profiles\eqjvrzlx.default\searchplugins\startsear.xml
C:\Documents and Settings\Stach\Dane aplikacji\Mozilla\Firefox\Profiles\eqjvrzlx.default\searchplugins\sweetim.xml
C:\Documents and Settings\Stach\Dane aplikacji\Mozilla\Firefox\Profiles\eqjvrzlx.default\searchplugins\web-search.xml
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
"ProxyEnable"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 56020
FF - prefs.js..network.proxy.type: 1
O4 - HKLM..\Run: [intel Display Control] C:\WINDOWS\system32\igfxct32.exe File not found
O4 - HKCU..\Run: [ASRockIES]  File not found
O4 - HKCU..\Run: [ASRockOCTuner]  File not found
O4 - HKCU..\Run: [MSConfig] C:\Documents and Settings\Stach\gpxa.exe \u File not found
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\rvnshzfl.sys -- (rvnshzfl)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, 50 FREE MP3s +1 Free Audiobook!, LiveVDO plugin 1.3, McAfee Security Scan Plus. Otwórz po kolei Firefox i Google Chrome, w nich powtórz w menedżerach dodatków deinstalację vShare/LiveVDO i SweetIM.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Są tu zainstalowane równoległe aż dwa antywirusy avast! Pro Antivirus + ESET NOD32 Antivirus. Bardzo niezdrowa sytuacja i szybka droga do zawieszeń Windows. Odinstaluj ESET (starszy).

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[Stach]

Zrobiłem na razie punkt 1, 2 i 4

 

Z 3 jest taki problem, że nie bardzo mi teraz chce działać internet, tzn nie otwierają się żadne strony, żebym mógł ściągnąć AdwCleaner (oczywiście zaraz ściągnę z drugiego)

 

tylko pytanie czy na pewno ma nie być teraz internetu?

 

na wszekli wypadek załączam to co mi zostało po skanowaniu skryptu

 

ps. albo i nie załączam bo okazuje się, że "nie mam uprawnień" więc to chyba nie konieczne ?

[picasso]

tylko pytanie czy na pewno ma nie być teraz internetu?

 

Nie. Usuwałam proxy z Firefox i Internet Explorer, więc powinno być wręcz odwrotnie. Jeśli nie ma internetu, coś zostało przeprowadzone niepoprawnie, a pierwszy podejrzany to deinstalacja antywirusa (ingeruje w układ kart sieciowych). Wejdź w Tryb awaryjny i skorzystaj z firmowego czyściciela ESET Uninstaller.

 

 

na wszekli wypadek załączam to co mi zostało po skanowaniu skryptu

 

Próbujesz załączać plik o rozszerzeniu *.LOG, a w załącznikach można wstawiać tylko *.TXT. Na przyszłość: wystarczy ręczna zmiana nazwy pliku.

 

 

.

[Stach]

hmm tylko w sumie chyba nie powiedziałem takiej sprawy, że wcześniej to nie wiem czy mi działał, bo odłączyłem pcta od internetu, a korzystam z innego komputera.

 

a Eseta chyba muszę ściągnąć też z innego, bo nie widzę, żebym miał coś takiego

 

dołączam logi

 

PS. np. gg mi działa a przeglądarki nie

 

 

wydaje mi się, że odinstalowałem już prawidłowo tzn przez ESET Uninstaler iii hm dalej nie bardzo chce działać

AdwCleanerS1.txt

afterOTL.txt

[picasso]

Dodałeś tylko log OTL z usuwania, a gdzie jest nowy skan OTL? Log zrób już po przeprowadzeniu tego:

 

 

hmm tylko w sumie chyba nie powiedziałem takiej sprawy, że wcześniej to nie wiem czy mi działał, bo odłączyłem pcta od internetu, a korzystam z innego komputera.

 

Ale przedobrzyłeś, Avast na spółkę z ESET, a każdy z nich filtruje urządzenia. Skoro odinstalowałeś ESET i poprawiłeś ESET Uninstaller, a nadal jest problem, to odinstaluj także Avast Pro + następnie popraw z poziomu Trybu awaryjnego narzędziem Avast Uninstall Utility.

 

 

.

[Stach]

hah, no tak to się kończy jak się chce, żeby było "super" bezpiecznie, choć tego avasta to dziś/wczoraj ściągnąłem, żeby przeskanował wszystko.

 

no ale wygląda na to, że dalej te przeglądarki coś nie działają ; /

 

 

Jeszcze dodam, że przy skanowaniu na OTL, kilka razy wyskoczył błąd dysku no i dawałem po prostu kontynuuj - nie wiem czy to ma jakieś znaczenie, no ale informuję. (wcześniej też)

 

ps. wydaje się, że teraz firefox działa, hmm może potrzebował czasu?

 

 

jaki antywirus zainstalować (najlepiej darmowy ) żeby było jak najmniej problemów ?

OTL.Txt

gmer.txt

[picasso]

ps. wydaje się, że teraz firefox działa, hmm może potrzebował czasu?

 

Wątpię w koncepcję "z czasem". Może gdzieś zabrakło restartu komputera...

 

 

jaki antywirus zainstalować (najlepiej darmowy ) żeby było jak najmniej problemów ?

 

Zaznaczałam tu inny problem, w tym przypadku raczej nie wina w konkretnym antywirusie jako takim tylko połączeniu dwóch antywirusów. Co do zainstalowanego Avasta to była wersja Pro a nie darmowa.

 

 

---

Zadania w większości wykonane, wymagane drobne poprawki na odpadki adware.

 

1. Firefox nadal zabrudzony adware. Wykonaj reset Liska: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. W Google Chrome pozostały resztki wtyczek LiveVDO:

 

========== Chrome  ==========
 
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\Stach\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Przeglądarka nie udostępnia bezpośredniej opcji usuwania, likwidacja wymaga ręcznej edycji pliku preferencji. Zamknij Google Chrome (nie może być uruchomione). Otwórz w Notatniku plik:

 

C:\Documents and Settings\Stach\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj w nim dwa bloki wtyczek LiveVDO plug-in i usuń. Tu dla porównania punkt 3 jak się to wykonuje, tylko oczywiście inne nazwy wtyczek: KLIK.

 

3. Poprawka na pozostałe rzeczy. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Search the Web]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\Stach\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
  00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Zrób nowy log OTL z opcji Skanuj.

 

 

 

.

[Stach]

z tym Avastem to wiem, po prostu ściągnąłem wersje testową, ale pro, żeby lepiej to wyszukać problem ale oczywiście wolałbym coś na stałe darmowego i skutecznego.

 

tu OTL po wszystkim:

OTL.Txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. "Stare dane programu Firefox" możesz usunąć z Pulpitu. I jeszcze te folderki po Avast jadą do kosza:

 

[2012-10-26 16:14:06 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012-10-26 16:14:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

z tym Avastem to wiem, po prostu ściągnąłem wersje testową, ale pro, żeby lepiej to wyszukać problem ale oczywiście wolałbym coś na stałe darmowego i skutecznego.

 

Możesz wybrać ponownie Avast, ale darmowy. Możesz też pójść w innym kierunku: Panda Cloud Antivirus.

 

 

.

[Stach]

Wszystko zrobione, a Malwarebytes skanuje, póki co czystko.

 

To tak jeszcze się spytam czy to ma znaczenie czy to będzie Panda czy Avast ? Jak można się domyślić nie robi mi różnicy, które ściągnę. Które osobiście byś poleciła?

[picasso]

Skoro tak mnie naciskasz, to weź Avasta, bo ma więcej opcji.

[Stach]

no to Avast już jest

 

a Malware znalazł mi 2 rzeczy

mbam-log-2012-10-27 (13-52-57).txt

[picasso]

1. Wyniki MBAM: ten pierwszy wygląda na fałszywy alarm, a za ten drugi nie podłożę głowy, to keygen i lepiej to usunąć...

 

2. Na zakończenie jeszcze zaktualizuj Adobe, Java, Firefox i Opera: KLIK. W Twoim logu było widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)
"Opera 11.61.1250" = Opera 11.61

 

W skrócie: wszystkie Adobe i Java odinstaluj, zanim zainstalujesz najnowsze wersje.

 

 

PS. Masz zainstalowany mało sensowny duplikat Gadu-Gadu 7.7 + Gadu-Gadu 10. To pierwsze to niepełnosprawna przestarzała wersja (brak pełnej obsługi własnej sieci + niski poziom zabezpieczeń, bo brak szyfrowania). To drugie to potwór reklamodawczy. Już prędzej przejdź na najnowsze GG11, a jeszcze lepiej obejrzyj alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Wszystkie opisy tu: Darmowe komunikatory

 

 

.

[Stach]

Ten keygen wyleciał.

 

Opera coś nie chciała otwierać stron po aktualizacji (nawet nie wiem czy wcześniej otwierała, bo z niej wgl nie korzystam) więc w sumie odinstalowałem ją, hmm pewnie lepiej było by, żebym dał jakieś logi, ale że jej wgl nie potrzebuję, to może nie będę zawracał głowy. Firefox i Chrome chyba wystarczą ?

 

Adobre i Jave, mam nadzieję, ze prawidłowo odinstalowałem i zainstalowałem nowe wersje : ) GG 10 i 7 wyleciało,

 

Stare wersje gg, trzymałem w sumie dla archiwum, ale gg11 zdaje się automatycznie archiwum przekopiowało, więc luz. Ogólnie to najchętniej korzystałbym dalej z 7... bo im nowsza wersja tym trudniej się połapać ocb, no ale tak jak powiedziałaś, nie obsługuje wszystkich numerów, żal ;p

 

 

dobra, to chyba wszystko, czy jeszcze jakieś polecenia ?

[picasso]

Opera coś nie chciała otwierać stron po aktualizacji (nawet nie wiem czy wcześniej otwierała, bo z niej wgl nie korzystam) więc w sumie odinstalowałem ją, hmm pewnie lepiej było by, żebym dał jakieś logi, ale że jej wgl nie potrzebuję, to może nie będę zawracał głowy. Firefox i Chrome chyba wystarczą ?

 

Wcześniej (co usuwałam skryptem OTL) w Firefox i Internet Explorer było ustawione jakieś podejrzane proxy. Prawdopodobnie w Operze też było i wystarczyło to przekonfigurować usuwając proxy.

 

 

Stare wersje gg, trzymałem w sumie dla archiwum, ale gg11 zdaje się automatycznie archiwum przekopiowało, więc luz. Ogólnie to najchętniej korzystałbym dalej z 7... bo im nowsza wersja tym trudniej się połapać ocb, no ale tak jak powiedziałaś, nie obsługuje wszystkich numerów, żal ;p

 

Alternatywne programy też potrafiłyby zaimportować archiwum Gadu. Obsługują to WTW, Kadu i AQQ (z wtyczką Archeolog).

 

 

dobra, to chyba wszystko, czy jeszcze jakieś polecenia ?

 

Wszystko.

 

 

.

[Stach]

no to dziękuję za pomoc.

 

Nad alternatywami gg się zastanowię ; )