Zablokowany komputer ukash?

[diox]

Ja tylko w międzyczasie się zapytam autora: podaj jak wypalałeś płytę z OTLPE.

[picasso]

Przeczytaj edycję powyżej. Komenda:

 

dir /a:h

 

I nie ma spacji między / oraz a:h.

 

 

.

[michalk]

wpisane pierw ze spacjami a potem bez i wykonane zdjecia

[diox]

michalk

Nie odpowiedziałeś na pytanie:

 

podaj jak wypalałeś płytę z OTLPE.

[michalk]

Nie zauważyłem pytania.

 

Wsadzilem plyte DVD w naped. Sciagnelem OTL te z gornego lewego rogu pierwsze( stamtad co podal ktos link ) uruchomilem na komputerze i chyba tam spytalo czy ma nagrac na plyte- dalem bodajze yes i wypalalo jakies 10 minut i tam automatycznie sie zapis zakonczyl.

[diox]

Jeśli zalecenia @picasso nie pomogą zrobisz tak: - możesz teraz spróbować

 

Włóż płytę z OTLPE, jak będzie się włączać komputer wcisnij F12, (nie patrz na + przy Hard Disk) strzałkami zaznaczasz CD-ROM i wciskasz Enter, jeśli dobrze jest nagrana płyta, komputer będzie bootować z płyty OTLPE, potem wiesz co masz dalej zrobić (log z OTLPE).

.

[michalk]

No wlasnie wkladam plytke z tym nagranym- i wszystko prowadzi tak jak przy normalnym wlaczaniu komputera i na koniec wskakuje mimo wszystko ten UKASH :// tutaj jak miniaturka to tam na samym dole przy " CD/DVD " chwilke mruga pozioma krecha i idzie dalej jak opisalem wyzej

[diox]

Dobra, na innym komputerze ta płyta bootuje? Za kilkanaście minut spróbuje powiedzieć jak w BIOS-ie ustawić ten CD-ROM.

[michalk]

sory za tak male zdjecie ale pisze ze za duze i nie chce ladowac- wiec zmuszony jestem je zmniejszac :/

 

Wiec na zdjeciu to co pokazuje po zaladowaniu plytki na sprawnym lapku

[picasso]

Nie widzę tu jasnego sformułania: czy da się wybrać Tryb awaryjny bez linii komend i wejść na Administratora?

 

Spróbuj jeszcze wypróbować potencjalny obiekt infekcji wprost z rejestru:

 

1. W linii komend wpisz regedit i ENTER. Wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Podaj jak wygląda wartość Shell.

 

2. Podświetl klucz HKEY_USERS. Z menu Plik > Załaduj gałąź rejestr > wskaż do montowania plik:

 

C:\Documents and Settings\Kacper\NTUSER.DAT

 

Na pytanie o nazwę wpisz NAPRAWA. W rejestrze pojawi się klucz pod taką nazwą. Wejdź do klucza:

 

HKEY_USERS\NAPRAWA\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Czy jest tam wartość o nazwie Shell?

 

 

.

[diox]

Do autora: co do tego OTLPE: wejdź do BIOS-u (Delete) > Advanced BIOS Features > wybierz strzałkami First Boot Device > wybierz CDROM > wciśnij ESC > F10 > potwierdź zapis w BIOS-ie ( YES lub Y) i wtedy spróbuj odpalić OTLPE (nie wchodzisz w F12), poprostu odpalasz komputer, jeśli to nie zadziała to wchodzisz do BIOS-u i robisz tak samo, tylko że zamiast CDROM wybierasz Hard Disk.

[michalk]

moment zaraz bede wykonywał

 

Do autora: co do tego OTLPE: wejdź do BIOS-u (Delete) > Advanced BIOS Features > wybierz strzałkami First Boot Device > wybierz CDROM > wciśnij ESC > F10 > potwierdź zapis w BIOS-ie ( YES lub Y) i wtedy spróbuj odpalić OTLPE (nie wchodzisz w F12), poprostu odpalasz komputer, jeśli to nie zadziała to wchodzisz do BIOS-u i robisz tak samo, tylko że zamiast CDROM wybierasz Hard Disk.

 

OK było w biosie ustawione CD-ROM ( First Boot Device ) potwierdziłem " y " i enter. Teraz wsadzona płyta i mruga ciagle tam ta pozioma kreseczka na dole przy " Boot from CD/DVD " ( opisane wczesniej ) > kolejno wyskakuje obrazek z windowsem xp ( jego ladowanie ) > no i teraz " zapraszamy niebieskie tło no i dalej blokada UKASH "

CIĄGLE WYŁĄCZA I WŁĄCZA MI SIE MONITOR ( co 10 sekund )

To wejde teraz ustawie Hard Disc, a potem jak nie pomoze wykonam to co napisał " picasso "


W POZYCJI: SECOND BOOT DEVICE miałem "hard disc" to moze tutaj tez zmienic na CD-ROM ?

W " First Boot Device " oraz " Second Boot Device " ustawione CD-ROM i niestety nic nie idzie . Mruga sobie ta krecha ciągle czyli znowu odpali mi do momentu UkASH- i nic sie nie laduje

TAK SAMO - UKASH po ustawieniach na " CD-ROM "

Nie da sie chyba wejsc przez ta plytke : //

Wiec przejde do metody picasso:

1. Nie nie da się wejść w administratora. Jest tylko linia komend i nie da sie przejsc dalej i np. grzebac po folderach. [ nie ma dostepu do niczego- tylko jest mozliwosc wpisywania w czarne okno i to tylko na administratorze ] nie na kacper

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- Tutaj nazwa tego shell:

NAZWA: " AutoRestartShell" TYP: REG_DWORD DANE: 0x00000001 (1)

3. KIEDY WYKONYWAŁEM: Podświetl klucz HKEY_USERS. Z menu Plik > Załaduj gałąź rejestr > ( tutaj w tym momencie kiedy dałem " załaduj gałąź rejestr "- komputer automatycznie zaczal sie wylaczac- tak jak ciągle to robi "

tragedia no i znowu wskoczyl UKASH

Wiec ponownie podswietlam HKEY_USERS, z menu plik> Zaladuj galaz rejestr- i ponownie od razu wygasa monitor, po 5 sekundach sie zapala i pokazuje " zamykanie systemu windows " i nastepuje reset komputera.

Cieżki przypadek- gdyby nie wsszystko co na nim wazne jest juz bym go chyba...

[picasso]

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- Tutaj nazwa tego shell

 

Sprawdzasz złą wartość AutoRestartShell, a ja prosiłam o Shell.

 

3. KIEDY WYKONYWAŁEM: Podświetl klucz HKEY_USERS. Z menu Plik > Załaduj gałąź rejestr > ( tutaj w tym momencie kiedy dałem " załaduj gałąź rejestr "- komputer automatycznie zaczal sie wylaczac- tak jak ciągle to robi "

 

Czy da się zrobić montowanie tego pliku w innym miejscu, czyli zamiast klik w HKEY_USERS to w HKEY_LOCAL_MACHINE?

 

Czy jest szansa podłączyć pod ten komputer jakiś pendrive i czy jest od rozpoznany w Trybie awaryjnym? Rozpoznanie urządzenia potwierdzisz wklepując komendę notepad i w Notatniku z menu Plik > Otwórz > z boku klik w Mój komputer > lista dysków się zgłosi.

 

 

 

.

[michalk]

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- i tutaj jak otwieram pokazuja sie foldery tak jak napisalem ponizej:

 

 

WINLOGON: ( i tutaj sa foldery w tym takie jak ):

- Credentials

-GPExtensions

-Nofity

-SpecialAccounts

 

 

W HKEY_LOCAL_MACHINE taka sama reakcja komputera- wylacza sie automatycznie.

 

Juz sprawdzam czy pendrive podejdzie.

 

" pendrive wsadzony> komenda " notepad " i w Notatniku z menu Plik > Otwórz > TUTAJ HISTORIA SIE POWTARZA- automatyczne wylaczenie komputera :/

[picasso]

1. Nadal sprawdzasz złe miejsce, nie patrz na podklucze. W widoku głównym klucza Winlogon, tam gdzie widziałeś AutoRestartShell, zjeżdżasz na dół okna, tam powinna być wartość Shell = czemu ona jest równa? Przy okazji, pod Shell jest wartość Userinit = tę też podaj czemu się równa.

 

 

2. Następnie, wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Pokaż co w nim jest.

 

3. Czy komenda taskmgr uruchamia menedżer zadań?

 

 

" pendrive wsadzony> komenda " notepad " i w Notatniku z menu Plik > Otwórz > TUTAJ HISTORIA SIE POWTARZA- automatyczne wylaczenie komputera :/

 

Czyli z tego wynika, że otwieranie jakichkolwiek graficznych okien (z wyjątkiem regedit) powoduje restart... Wklep w linii komend diskpart a po tym list disk. Czy na liście widać pozycję pasującą rozmiarem do pendrive?

 

 

 

.

[michalk]

SHELL: tak samo jak u Pani, : REG_SZ- Explorer.exe

 

USERINIT: REG_SZ- C:\WINDOWS\system32\userinit.exe,

 

 

taskmgr- URUCHAMIA MENADZER ZADAN

 

RUN:

 

1) domyślna REG_SZ ( wartosc nie ustalona )

2) AVG_TRAY REG_SZ "C:\Program Files\AVG\AVG2012\avgtray....

3)QuickTime Task REG_SZ " ....QuickTime\qttask.exe"

4)TkBellExe REG_SZ ".......\Real\RealPlayer\update...

 

"Wklep w linii komend diskpart a po tym list disk. Czy na liście widać pozycję pasującą rozmiarem do pendrive?"

 

 

Nie 8GB pojemnosc, a pokazuje :

 

Dysk ### Rozmiar 466 Gb Wolne 2628 Mb

[picasso]

taskmgr- URUCHAMIA MENADZER ZADAN

 

Zaznacz "Pokaż procesy wszystkich użytkowników". Rozciągnij okno tak by było widać wszystkie pozycje, a nazwy procesów nieobcięte. Zrób zdjęcie z tego okna.

 

 

.

[michalk]

Nie moge wyslac- " wykorzystano 4.88 MB z 4.88 MB

 

Nazwa : ( zaznaczony ptaszek przy " Pokaż procesy wszystkich uzytkowników "

 

wmiprvse.exe

cmd.exe

svchost.exe

- to samo

- to samo

-to samo

lsass.exe

services.exe

winlogon.exe

csrss.exe

smss.exe

System

Proces bezczynno...SYSTEM

[picasso]

Nie widać żadnych obcych procesów. Może tu siedzi wariant, który modyfikuje usługę Instrumentacji Windows. Uruchom w linii komend regedit i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters

 

W środku jest wartość ServiceDll. Podaj do jakiego pliku ona kieruje.

 

 

.

[michalk]

ServiceDll:

 

REG_EXPAND_SZ %SystemRoot%\system32\wbem\WMIsvc.dll

 

 

pozwoli Pani ze jutro dokonczymy reszte- weic jutro odpowiem na kolejny ewentualny post i dziekuje bardzo za pomoc

[picasso]

Niestety tu jest wszystko prawidłowo. Podsumujmy:

- Nie działa bootowanie z CD, pendrive w Trybie awaryjnym nie jest rozpoznany.

- Startuje tylko Tryb awaryjny z Wierszem polecenia i tylko konto Administrator wchodzi. Infekcja zdaje się działać na koncie Kacper, ale są oznaki globalnego efektu, bo Tryb awaryjny graficzny nie ładuje się nawet na Administratorze.

- W Trybie awaryjnym z Wierszem polecenia jakakolwiek akcja prowadząca do otwierania okien graficznych z eksplorowaniem na dysku powoduje restart. Działają za to regedit i taskmgr.

- W procesach Trybu awaryjnego nie widać nic podejrzanego.

- Wg rejestru nie jest to modyfikacja w globalnym kluczu Winlogon (Shell / Userinit) czy Run ani modyfikacja usługi WMI.

 

Wnioski: nie mogę dalej zgadywać, muszę mieć raporty z OTL. Nagraj z poziomu sprawnego kompa zwykłą płytę tylko z OTL (a nie bootowalną jak poprzednio). F8 > Tryb awaryjny z Wierszem polecenia > w linii komend uruchom OTL z tej płyty wklepując X:\OTL.exe i ENTER (gdzie X: = litera CD-ROM, musisz ją wytypować prawidłowo). Niestety to będą dane tylko z konta Administrator, ale może coś będzie się dało wywnioskować pośrednio czy zrobić dostosowane skany w ścieżce konta Kacper.

 

 

PS. Apropos:

 

wykorzystano 4.88 MB z 4.88 MB

 

Odrezerwowałam miejsce redukując wielkość dwóch ogromnych zdjęć z BIOS (ponad 1MB na łeb).

 

 

 

.

[michalk]

wklepując X:\OTL.exe i ENTER (gdzie X: = litera CD-ROM, musisz ją wytypować prawidłowo).

 

CZYLI CO KONKRETNIE WPISAC NA CZARNYM POLU ??

[Anonim8]

CZYLI CO KONKRETNIE WPISAC NA CZARNYM POLU ??

 

Konkretnie jedziesz po kolei z komendami od literki D w górę

 

czyli D:\OTL.exe > klik enter

E, F G H I J K itd aż odpali OTL

[michalk]

NAGRAŁEM NA PŁYTE DVD OTL.exe wpisuje tak jak piszecie- i brak reakcji.

 

Nazwa......nie jest rozpoznawalna jako polecenie wewnętrzne lub zewnetrzne, na plycie jest OTL.exe juz zainstalowane i to co sciagnelo sie czyli tak jakby do zainstalowania

 

czy jest jeszcze jakis sposob aby pozbyc sie tego dziadostwa ?

[picasso]

Czy OTL.exe leży w głównym widoku płyty czy w podfolderze? Czy sprawdziłeś wszystkie litery po kolei?