ukash - departament policji

[StBziku]

Witam.

Mam problem z laptopem taty. Został on zablokowany przez ukash w trybie awaryjnym sobie z nim "poradziłem". Po uruchomieniu rozpocząłem aktualizację systemu (nie była robiona od roku jak się okazało). Niestety wystąpił problem z rundll.exe, że go brakuje. Odnalazłem go jednak w miejscu gdzie powinien być. Gdzieś w necie przeczytałem, aby go wrzucić do autostartu, co uczyniłem. Niestety windows został zablokowany ponownie, ale już tak, że nie mogę sobie z nim poradzić.

Byłbym wdzięczny za pomoc. Dziękuje z góry.

 

System to Vista.

Raporty wykonane w trybie awaryjnym bez obsługi sieci(z obsługą system też się blokował)

 

Podczas skanowania security check wyskoczył komunikat (screen w załaczniku)

 

Raport z Security Check:

 

 

Results of screen317's Security Check version 0.99.56

Windows Vista x86 (UAC is enabled)

Out of date service pack!!

Internet Explorer 7 Out of date!

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Adobe Flash Player 10 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Google Chrome 24.0.1312.52

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C: %

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

[picasso]

Niestety wystąpił problem z rundll.exe, że go brakuje. Odnalazłem go jednak w miejscu gdzie powinien być. Gdzieś w necie przeczytałem, aby go wrzucić do autostartu, co uczyniłem. Niestety windows został zablokowany ponownie, ale już tak, że nie mogę sobie z nim poradzić.

 

Błędnie oceniona sytuacja. Pliku rundll32 nie brakuje, uzupełnianie tego w starcie to tworzenie kolejnej usterki - co to znaczy konkretnie "wrzucić do startu"? A błąd stąd, że infekcja wcale nie jest usunięta. Po pierwsze: skrót infekcji runctf.lnk w starcie (stąd błąd rundll32). Po drugie: infekcja zmodyfikowała kluczową usługę Instrumentacji Windows (stąd nie działają określone funkcje m.in. Centrum zabezpieczeń):

 

SRV - [2013-01-09 15:20:55 | 000,189,192 | ---- | M] (Корпорация Майкрософт) [Auto | Stopped] -- C:\Users\Euromat\wgsdgsdgdsgsd.exe -- (Winmgmt)

 

Mam też komentarz apropos C:\Users\Euromat\Desktop\adwcleaner_www.INSTALKI.pl.exe. Proszę nie pobierać tego programu z innych źródeł niż strona domowa i autoryzowane linki (KLIK). Tylko tam gwarant najnowszej wersji.

 

 

---

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Users\Euromat\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Euromat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Euromat\AppData\Local\Temp*.html
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKU\S-1-5-21-120728158-1668873095-2500419783-1000..\Run: [DriverMax_RESTART]  File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL" File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[StBziku]

co to znaczy konkretnie "wrzucić do startu"?

 

Tam nie było to opisane. Ja skopiowałem i wkleiłem skrót do startu.

 

Po wykonanym skrypcie system zadziałał. Pojawił się jeden komunikat (screen w załączniku). Avast nawet zaraz po uruchomieniu systemu odezwał się, że coś wykrył i przeniusł runctf.ini do kwarantanny.

 

Oczywiście załaczam skan z OLT.

 

Pozdrawiam i dziękuje za pomoc.

OTL.Txt

[picasso]

Tam nie było to opisane. Ja skopiowałem i wkleiłem skrót do startu.

 

Mnie chodzi o to czy ten skrót nadal tam jest? Jeśli tak = wyrzuć, bo to jest błąd.

 

A zadania wykonane i przejdź już do:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku całkowicie OTL i jego kwarantannę. Przez SHIFT+DEL skasuj folder C:\cce_linux

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare wersje produktów Adobe i zaktualizuj Windows: KLIK. Wg raportu krytyczny poziom aktualizacji Vista (brak obu Service Packów, IE9 i reszty nowszych łat) oraz są zainstalowane wersje:

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16982)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

.

[StBziku]

Wszystko zadziałało.

Dzięki wielkie.

 

Mnie chodzi o to czy ten skrót nadal tam jest? Jeśli tak = wyrzuć, bo to jest błąd.

Usunąłem wcześniej.

 

Jeszcze raz wielkie dzięki