Ukash - również w trybie awaryjnym

[Buzoneko]

Witam,

Prosze o pomoc.

OTL.Txt

Extras.Txt

[picasso]

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Files
C:\Documents and Settings\grom\wgsdgsdgdsgsd.dll
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\grom\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. Komputer zostanie odblokowany. Zaloguj się normalnie do Windows.

 

2. Przez Panel sterowania odinstaluj adware toolplugin.

 

3. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik umieść w katalogu C:\Windows\system32\drivers\etc.

 

4. Zrób nowe logi ze standardowego OTL z opcji Skanuj.

 

 

 

.

[Buzoneko]

Witam,

 

Udało mi sie uruchomić kompa bez tego skryptu. Mianowicie zaraz po włączeniu sie kompa kasowałem proces round.dll i jakoś ukash sie nie pojawił. Szybko zainstalowałem combofix. uruchomiłem i usunał wszystko w tym toolplugin. Plik hosts sam jest stworzony z takimi samymi danymi ktore podajesz.

 

Pozdrawiam

[picasso]

Mianowicie zaraz po włączeniu sie kompa kasowałem proces round.dll i jakoś ukash sie nie pojawił.

 

Jeśli kasowałeś proces rundll32.exe, to poważny błąd, to proces systemowy! Infekcja się po prostu nim posługuje.

 

 

Szybko zainstalowałem combofix. uruchomiłem i usunał wszystko w tym toolplugin.

 

Na temat używania ComboFix: KLIK. To działanie nie zostało tu zalecone! A usuwanie prezez ComboFix toolplugin nie jest procesem normalnym tylko na chama. Twoje działania i tak nie załatwiły sprawy do końca, tylko namieszałeś.

 

Skoro użyłeś ComboFix, proszę przedstawić co robił (czyli log C:\ComboFix.txt) + dostarczyć prawidłowe logi ze standardowego OTL.

 

 

 

 

.

[Buzoneko]

Witaj,

 

Ponizej załączam wszystko o co prosiłas.

Poprosze o instrukcje co dalej robic?

 

Pozdrawiam

ComboFix.txt

OTL.txt

Extras.txt

[picasso]

Jakoś nie widzę, by ComboFix w ogóle usuwał C:\Documents and Settings\grom\Dane aplikacji\toolplugin, tylko pusty wpis na liście zainstalowanych. Tu raczej wygląda, że coś więcej było robione.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
 
:OTL
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\grom\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowe log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Buzoneko]

Witaj,

 

Zrobiłem.

Mam tylko pytanie bo od czasu tego ukasha nie moge wejść w połączeniach siecowiych w połącznie lokalne.Zawiesza sie w momencie klikniecia na właściwości. Pojawia sie po jakims czasie i jak tylko chce cos zrobić to znowu sie zawiesza. Dodatkowo ustawiam na routerze port nasłuchu ale program który ma go używać nie widzi go. Czy to może mieć związek czy zbieg okoliczności.

Pzdr

OTL.txt

[picasso]

Mam tylko pytanie bo od czasu tego ukasha nie moge wejść w połączeniach siecowiych w połącznie lokalne.Zawiesza sie w momencie klikniecia na właściwości.

 

To jest problem z winy infekcji, uszkodzona przez infekcję usługa Instrumentacji Windows:

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\grom\wgsdgsdgdsgsd.dll -- (winmgmt)

 

I ja to przecież zadawałam do korekty w skrypcie (patrz na dyrektywę :Reg), a tu nie zostało to wcale wykonane. Czyli poprawka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[reboot]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[Buzoneko]

Skopiowałem wszystko za pierwszym razem, uruchomiłem i teraz również z tym skryptem, ktory podałas. Od razu w sumie pyta o restart więc zatwierdzam.

Mimo to nadal mam problem, pojawia sie ten sam objaw. Uruchamiam "wykonaj skrypt" z domyślnymi ustawieniami.

OTL.txt

[picasso]

Jest bez zmian, usługa nadal uszkodzona. Inna metoda naprawy:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Usługi ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Buzoneko]

Dzięki wielkie. Wydaje mi sie ze wszystko wrocilo do normy:)

 

Pozdrawiam

OTL.txt

[picasso]

Nareszcie zrobione, czyli możemy kończyć:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany ze ścieżki G:\ComboFix.exe, dysk G już niedostępny. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\grom\Pulpit\ComboFix.exe" /uninstall

 

Następnie: w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj z dysku folder C:\WINDOWS\ERDNT.

 

2. Odinstaluj wszystkie stare dziurawe wersje Adobe / Java / Silverlight, zaktualizuj systemowy IE i Operę: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Opera 11.64.1403" = Opera 11.64
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)

 

Masz też Gadu-Gadu 10. Straszny program, zasobożerny i reklam chmara. Propozycje zamienników z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.