Ukash - Wirus - pomocy

[LuckyLuke]

Witam jakimś cudem udało mi się uruchomić komputer za n-tym razem. Mam problem z wirusem ukash. Tym razem wyrzucał mnie nawet z trybu awaryjnego.

Poniżej wrzucam OTL'e. Bardzo proszę o pomoc.

 

Pozdrawiam. Łukasz.

OTL.Txt

Extras.Txt

[picasso]

Tym razem wyrzucał mnie nawet z trybu awaryjnego.

 

Nie próbowałeś Trybu awaryjnego z Wierszem polecenia.

 

Tu siedzi też fałszywy program "Disk Antivirus Professional", i prawdopodobnie są niektóre usługi systemu przekonfigurowane lub uszkodzone (obecność polityki HideSCAHealth).

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{45EA3881-10C4-4AD5-B790-02E787B6970D}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{45EA3881-10C4-4AD5-B790-02E787B6970D}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome]
 
:Files
C:\Users\LuckyLuke\AppData\Roaming\skype.dat
C:\Users\LuckyLuke\AppData\Roaming\skype.ini
C:\Users\LuckyLuke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional
C:\Users\LuckyLuke\Desktop\Disk Antivirus Professional.lnk
C:\ProgramData\1300BB284367943700001300A82F9C38
%localappdata%\Google\Chrome
 
:OTL
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Windows powinien zostać odblokowany.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Odinstaluj Akamai NetSession Interface (zbędny downloader), Skaner on-line mks_vir (archaiczny skaner).

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner.

 

 

 

.

[LuckyLuke]

Dzieki, ale...

Uruchomiony od 2 dni non stop komputer dziś sie zawiesił i po,ogło tylko wyłączenie. i tu pojawia się problem bo nie mogę go uruchomić. OTL'a mam na pulpicie i w sposób dosowy nie potrafie do niego dojść. Gdyby mi się udało jakimś cudem (chociaż nie sądzę) to i tak nie przepisze skryptu (teraz pisze z drugiego kompa). Działa tylko tryb awaryjny z wierszem przez który da się wejść tylko przez F8 -> Napraw komputer -> wiersz poleceń.

system repair i system restore wyrzuca błąd.

Przed napisaniem 1-go posta jakoś udało mi się uruchomić komp. normalnie i uruchomić otl'a. teraz próbuję i nie daje rady.

help?

pozdrawiam

[picasso]

Działa tylko tryb awaryjny z wierszem przez który da się wejść tylko przez F8 -> Napraw komputer -> wiersz poleceń.

 

"Napraw komputer" to nie Tryb awaryjny. To zewnętrzne środowisko WinRE i tu OTL nie można uruchomić, bo nie jest przystosowany do pracy spod niezaładowanego Windows. W tym środowisku działa inne narzędzie (FRST), oczywiście skrypt OTL do niego nie pasuje. Na razie nie podaję jak to zrobić, bo tu się rysuje całkiem inny problem (zawieszenie systemu > brutalne wyłączenie > mogło się coś stać z plikami na dysku).

 

 

system repair i system restore wyrzuca błąd.

 

Ale jaki błąd? Przepisz sygnaturę błędu. W Wierszu polecenia spróbuj komendę sprawdzania dysku chkdsk /f /r.

 

 

Przed napisaniem 1-go posta jakoś udało mi się uruchomić komp. normalnie i uruchomić otl'a. teraz próbuję i nie daje rady.

 

W stanie z pierwszego posta aplikuje się Tryb awaryjny z Wierszem polecenia (a nie Wiersz polecenia w Napraw komputer). Ale tu sytuacja się zmieniła, doszła nowa usterka.

 

 

 

.

[LuckyLuke]

Chodziło mi o to, że nie jestem w stanie odpalić teraz OTL'a gdyż nie dojde do niego komendą "cd" bo jest zapisany na pulpicie. CHDSK nie chchiał odpalic ale obiecał sprawdzić po restarcie i nie znalazł błedu -> komp jak stał tak stoi :/

F8 -> Napraw komputer -> system restore -> zaczyna mielić (restoring files...) około 5 minut i (uwaga cytat) "system restore did not complete succesfully. your computer's system files and settings were not changed. Details: System restore failed to extract the original copy of the directory from the restore point. Source: %systemRoot%\registration Destination: ComPlusStaging

You can try System Restore again and choose a different restore point (ale mam tylko jeden). If you continue to see this error you can try an advanced recovery method. for more information see What is Recovery" koniec cytatu, a pod spodem 2 opcje run system restore i close.

[picasso]

Chodziło mi o to, że nie jestem w stanie odpalić teraz OTL'a gdyż nie dojde do niego komendą "cd" bo jest zapisany na pulpicie.

 

Ale ja nie o tym. Mówisz:

 

Działa tylko tryb awaryjny z wierszem przez który da się wejść tylko przez F8 -> Napraw komputer -> wiersz poleceń.

 

A ja mówię: to nie jest Tryb awaryjny, to jest środowisko zewnętrzne (niezaładowany Windows) i w ogóle tu nie uruchomisz OTL, bo nie działa w tym środowisku.

 

Zakładając, że system jest sprawny (nie ma innego uszkodzenia i działa tylko infekcja), to ma wyglądać tak:

 

1. F8 > Tryb awaryjny z Wierszem polecenia (a nie Napraw komputer > Wiersz polecenia!)

 

2. Wpisujesz komendę i ENTER:

 

C:\Users\LuckyLuke\Desktop\OTL.exe

 

 

 

.

[LuckyLuke]

Okej wiem o co chodzi natomiast jak uruchomię Otl to jak wrzucić do niego skrypt?

[picasso]

Skrypt możesz sobie zapisać w Notatniku na pendrive. W Trybie awaryjnym z Wierszem polecenia wklepujesz komendę notepad, co otworzy Notatnik. W Notatniku otwierasz plik z zapisanym skryptem. Przeklejasz treść do okna OTL i klik w Wykonaj skrypt.

 

 

 

.

[LuckyLuke]

Faktycznie poszło. teraz restart i zastosować się do wcześniejszych instrukcji?

[picasso]

Skrypt wykonany, więc wchodzisz do Windows i lecisz z punktami 2 do 4 z poprzedniej instrukcji.

[LuckyLuke]

czy jest opcja żeby inaczej podejść do punktu drugiego? chodzi o to, że mam troche haseł, których nie odtworzę i zakładek też szkoda

[picasso]

chodzi o to, że mam troche haseł, których nie odtworzę i zakładek też szkoda

 

Reset nie narusza haseł i zakładek. Opis funkcji resetowania: KLIK.

 

 

.

[LuckyLuke]

właśnie doczytałem. sorry

 

Mam już świeże logi.

Co następnie?

FSS.txt

OTL.Txt

[picasso]

Wszystko zrobione. Korekty:

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files (x86)\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}

 

Klik w Wykonaj skrypt.

 

2. Infekcja przekonfigurowała usługi. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Windows Update, Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Pomijam usługę Windows Defender (też wyłączona), gdyż w tle działa Avast.

 

3. W OTL uruchom Sprzątanie, które usunie z dysku OTL wraz z kwarantanną.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[LuckyLuke]

Witam, zrobiłem wszystko jak należało. Mam Log z Malwarebytes. Wklejam.

Offtop: mam problem z siecią. Raz wyskoczył błąd z konfliktem adresów ip. moż ejakaś porada na ten temat?

 

Sprawa się lekko skomplikowała. Po Malware bytes (po usunięciu zaznaczonych infekcji) system nie odpala. Działają tryby awaryjne.

MBAM-log-2013-02-14 (20-52-07).txt

[picasso]

Wyniki MBAM: nic istotnego: PUM.Disabled.SecurityCenter to oznaczenie wyłączonych powiadomień Centrum zabezpieczeń, a kwarantannę Dr. Web usuń w całości kasując przez SHIFT+DEL folder C:\Users\LuckyLuke\DoctorWeb.

 

 

Sprawa się lekko skomplikowała. Po Malware bytes (po usunięciu zaznaczonych infekcji) system nie odpala. Działają tryby awaryjne.

 

Prawdopodobnie problem tworzy MBAM. Odinstaluj go i zobaczymy.

 

 

 

.

[LuckyLuke]

Dzieki pomogło odinstalowanie Malware'a.

Powiesz mi coś na temat tych konfliktów IP?

[picasso]

Na zakończenie:

 

1. W Dzienniku zdarzeń masz błędy:

 

Error - 2013-02-11 13:49:33 | Computer Name = LuckyLukes | Source = PNRPSvc | ID = 102
Description = 
 
Error - 2013-02-11 13:49:33 | Computer Name = LuckyLukes | Source = Service Control Manager | ID = 7001
Description = Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania
 nazw równorzędnych, której nie można uruchomić z powodu następującego błędu:   %%-2140993535
 
Error - 2013-02-11 13:49:33 | Computer Name = LuckyLukes | Source = Service Control Manager | ID = 7023
Description = Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie;
 wystąpił następujący błąd:   %%-2140993535

 

Wykonaj te działania:

 

Błąd 0x80630801 sugeruje uszkodzenie bazy certyfikatów: KLIK (PEER_E_CERT_STORE_CORRUPTED). Przejdź w Tryb awaryjny Windows, wejdź do folderu C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking, ze środka usuń wszystkie pliki modelu nazwy idstore.* (może być więcej niż tylko jeden idstore.sst).

 

2. Aktualizacje programów, to m.in. dziurawa Java prowadzi do tej infekcji. Wg raportu posiadasz wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"Opera 11.60.1185" = Opera 11.60

 

Czyli: usuń wszystkie stare Adobe i Java, zastąp najnowszymi, zaktualizuj wszystkie przeglądarki oraz pakiet Office 2010 (instalacja SP1): KLIK.

 

Dodatkowa uwaga: widzę koniugację Gadu-Gadu 7.0 + Gadu-Gadu 10, a żadne z nich nie nadaje się do użytku. Prędzej sprawdź jak wygląda najnowsze GG11 (jest lepiej), choć i tak obstaję za kompletnym przełączenie na alternatywny program z obsługą Gadu: WTW, Kadu, Miranda NG, AQQ. Wszystkie opisy tu: KLIK.

 

 

Powiesz mi coś na temat tych konfliktów IP?

 

Jeśli to nie jest jednorazowe, to temat do działu Sieci (przeczytaj zasady działu).

 

 

.