Zablokowany komputer ukash?

[michalk]

wpisuje dobrze- juz sprawdzam po kilka razy komendy

TAK- lezy w glownym widoku INSTALKA oraz zainstalowany na dobrym kompie OTL. ( gdy otwieramy plyte od razu jest jedno i drugie )


Coś takiego napisali na innym forum:
Moze w ten sposob ?:

 

Wreszcie, można się go pozbyć ręcznie. Jeśli działa tryb awaryjny, to wystarczy regedit i szukamy kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - do usunięcia

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "[random].exe

Gdzie RANDOM to jakiś tekst. Powinno być explorer.exe


Co do plików, to trzeba przeszukać następujące miejsca:

C:\Documents and Settings\All Users\Dane aplikacji\[random].exe
C:\Windows\[random].exe
C:\Windows\explorer_new.exe

Gdzie random, to losowa nazwa.

Jeśli tryb awaryjny nie działa, wtedy uruchamiamy w trybie tekstowym i kasujemy kluczyk ręcznie. REGEDIT /D kluczyk do skasowania.

[picasso]

Zaraz: INSTALKA? Co to jest ta "INSTALKA"? Czy chodzi o to: X:\INSTALKA\OTL.exe? Jeśli tak jest, to całkowicie zmienia komendę, OTL.exe nie leży w głównym widoku bezpośrednio, tylko w podfolderze.

 

Coś takiego napisali na innym forum:

(...)

Jeśli działa tryb awaryjny, to wystarczy regedit i szukamy kluczy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - do usunięcia

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "[random].exe

Gdzie RANDOM to jakiś tekst. Powinno być explorer.exe
(...)

 

Przypomnij sobie co sprawdzałeś w rejestrze = wartość Shell. Tu siedzi inny wariant niż opisany w tej przemowie, u Ciebie wartość Shell jest równa explorer.exe a nie losowa nazwa.exe.


.

[michalk]

i instalka jak i OTL.exe sa na pierwszym widoku, wiec OTL.exe nie jest w podfolderze, fizycznie sa to ikony obok siebie

 

nagralem druga plyte DvD tylko z samym OTL.exe i komendy powtorzylem i zero rekacji ( tak jak wyzej )

 

np.

 

wpisałem w administratorze: D:\OTL.exe potem E, F a od g pisze "Nie mozna znalezc dysku"

[picasso]

Pokaż mi obrazek z widoku płyty. Pokaż mi też zdjęcie co wpisujesz w linii komend.

[michalk]

Obrazki: wiec raczej tak jak byc powinno

 

a mozna utworzyc jakiegos nowego uzytkownika ? i z niego zrobic logi ? gdzies tak pisali na forach

[picasso]

Ciężka sprawa. Z tego wynika, że nie da się uruchomić tu płyty ani nic z płyty, tak jakby system jej nie widział, już przy bootowaniu był problem, a teraz ten ostatni komunikat z "Brak dysku" (to jedyna litera która reaguje inaczej niż pozostałe) sugeruje, że zawartość płyty nie jest czytana.

Mam związane ręce: nie można uruchomić przez boot ani dostać się do zawartości płyty, nie można przenosić nic między pendrive (nie jest wykrywany w awaryjnym), jakiekolwiek akcje dostępu do eksploracji graficznej resetują system. Jedyna droga z mojej strony, to zgadywanie i zadawanie coraz to innych dirów w linii komend, ale ścieżek i możliwości jest kupa, bo infekcji UKASH wariantów ogromna liczba.

Spróbuj jeszcze zrobić bootowalny pendrive z OTL. To co pobrałeś jako OTLPE przerób za pomocą jednego z tych narzędzi:

 

OTLPE URUCHOMIONE Z USB

Domyślnie OTLPE jestprzygotowane do nagrania na nośnik CD. Istnieje możliwość stworzenia bootowalnego USB. Pobraną paczkę OTLPE rozpakuj za pomocą 7-zip. W środku jest plik ISO, który należy nagrać na USB. Do wyboru dwa kreatory:

1. Kreator YUMI. Wybierasz opcję "Try an Unlisted ISO" lub "Try an Unlisted (Run From RAM)" i wskazujesz plik ISO.
2. Kreator PeToUSB: KLIK.

 

Wejdź do BIOS, ekran z posta #11: Advanced BIOS Features > tu powinna być konfiguracja First Boot Device > ustaw jako pierwszy w kolejności USB pasujący do typu pendrive. Wepnij pendrive, start komputera. Jeśli pendrive nie zbootuje, trzeba będzie zarzucić myśl o dostępie tym sposobem.

 

a mozna utworzyc jakiegos nowego uzytkownika ? i z niego zrobic logi ? gdzies tak pisali na forach

 

Ale uświadom sobie, że Ty już masz takiego użytkownika, a jest nim Administrator. Infekcja u Ciebie (choć ja nie wiem czy to faktycznie infekcja, bo jest tu jeszcze kilka innych dziwnych objawów) robi coś takiego, że nie działa żadne konto w trybie graficznym.




.

[diox]

Mam jeszcze jedno rozwiązanie, jeśli pendrive z OTLPE nie odpali. Od razu sprawdzimy też, czy napęd DVD jest sprawny, bo brak bootowania przy prawidłowych ustawieniach jest dziwne, sądzę, że to sprawa hardware. Masz może płytę z Windows Vista lub Windows 7?

[michalk]

Słuchajcie udalo mi sie w jakis sposob przejsc do PULPITU :DDD

 

tego normalnego uzytkownika.

 

Mialem kiedys gdzies OTL zainstalowane wiec znalazlem na Administratorze ( poprzez c/administrator skopiowalem na pulpit i wykonalem logi otl i extras )

 

PROBLEM POLEGA NA TYM, ze nie pokazuje PENDRIVE ani PŁYT gdy je wsadzam. Takjakby ich nie wyszukuje czy coś.... Wiec nie wiem jak zgrac i przeslac na forum te 2 pliki .

 

 

A boje sie tam podlaczyc kabel z internetem bo znowu te dziadostwo wyskoczy a i resetowac tez nie chce bo co jak sie na pulpit uzytkownika znowu nie dostane

[diox]

Jesteś w trybie awaryjnym czy normalnym?

Co do pendrive: podłącz go i wejdź w Start > Panel sterowania > Narzędzia administracyjne > Zarządzanie komputerem > na lewo wciśnij Zarządzanie dyskami, zrób fotkę i pokaż tutaj.

[michalk]

W normalnym trybie. Tak jak od zawsze odpalalem komputer tak jestem teraz. Juz robie fote ZARAZ WRZUCE

PROBOWALEM wlasnie przez NERO nagrac 2 pliki OTL i EXTRAS ale wywalilo bo plyta to CD a wymagana to DVD.
Chyba ze przy DVD da sie nagrac i wtedy wrzuce logi ale czy to rozwiaze problemy nie odczytywania pendrive i plyt ?

[diox]

Rzeczywiście nie ma żadnego pendriva. Gdy podłączasz go nie słychać w głośnikach dzwonka? Jeśli masz to spróbuj podłączyć innego pendriva lub telefon i przenieść logi na niego.

[michalk]

Podlaczam 2 pendrive i htc'ka. Na laptopie normalnie dzwiek podlaczenia wszystkich i odpala. Tam 0 reakcji przy wszystkim.

3 wejscia z przodu + jakies z tlu- zadne nie dziala.

Lece szybko po plyty DVD i sprobuje nagrac przez NERO. Moze sie uda.

 

JAK AUTOR POWYZSZEGO POSTU przeczyta wczesniej- zmienialisy cos w biosie na CD-ROM z HARD-DISC ( moze tutaj trzeba cos zmienic ? )

[diox]

zmienialisy cos w biosie na CD-ROM z HARD-DISC

 

To nie to. To jest kolejność bootowania komputera. Na wszelki wypadek daj zdjęcia z BIOS-u, z zakładek Standard CMOS Features, Advanced BIOS Features, Integrated Peripherals,(tylko wchodzisz w je i robisz zdjęcie), jeśli nie wejdzie w załączniki, wstaw te zdjęcia na speedy.sh i podaj tutaj link.

Będę jeszcze przez 20 minut więc wstaw teraz to odpowiem.

[michalk]

Nie wcisnalem DELETE i poszlo dalej (po uruchom ponownie komputer) Teraz takie okienko mi wyskoczylo ( fota )

 

Juz wchodze w bios i robie te fotki

 

http://speedy.sh/VwcX4/IMAG0495.jpg

 

http://speedy.sh/KWXew/IMAG0496.jpg

 

http://speedy.sh/Ahe2W/IMAG0497.jpg

 

 

HAHA udalo sie ;)

 

Prosze o sprawdzenie logow i poprawienie : ))) mialem doslownie sekunde na skopiowanie na pendraka logow bo automatycznie go rozlaczalo ale udalo sie ; )))

OTL.Txt

Extras.Txt

[picasso]

I wszystko jasne, teraz wiadomo dlaczego jest problem z detekcją CD i pendrive. W systemie działa gorsza infekcja niż "policja", czyli rootkit Necurs który blokuje inne sterowniki. Natomiast: nie ma tu żadnych oznak infekcji UKASH... Za to jest wyjaśnione dlaczego startuje CMD zamiast explorer.exe. Na koncie Kacper masz wpisz uruchamiania CMD:

O20 - HKU\S-1-5-21-448539723-1450960922-682003330-1003 Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)

1. Na koncie Kacper otwórz Notatnik wpisując komendę notepad i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

2. Uruchom ESET Necurs Remover (niestety musisz go jakoś zdążyć przetransportować na chory system). Zresetuj system.

3. Po restarcie zrób zaległy log z GMER i nowy OTL z opcji Skanuj.



.

[michalk]

W momencie: "Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG" nastepuje automatyczny reset komputera. Tak samo po podlaczeniu pendriva, ale zaraz z tym powalczę

ok pyta "Czy na pewno dodac informacje w CD..and Sett...do rejestru?" Klikam tak. "Informacja została poprawnie wprowadzona do rejestru" Teraz to resetuje się po wsadzeniu pendrive do "dziury" Za chwilkę wrzuce ESET i uruchomię. Wszystko robie z trybu awaryjnego na Kacper po wpisaniu w wiersz poleceń explorer.exe

 

Skopiowane na pulpit. Po kliknieciu dwukrotnym wyskakuje : CZARNE POLE O NAZWIE: G:\ESETNecursRemover.exe i napisy czerwone : " Win32/Necurs has been found on your system ? Do you want to remove the rootkit ? ( Y/N)

[picasso]

Po kliknieciu dwukrotnym wyskakuje : CZARNE POLE O NAZWIE: G:\ESETNecursRemover.exe i napisy czerwone : " Win32/Necurs has been found on your system ? Do you want to remove the rootkit ? ( Y/N)

 

Wklep Y i ENTER.

 

 

.

[michalk]

na pulpicie powstal jakiś folder eset i w nim dokument tekstowy eset ale pisze ze nie mam uprawnien do wysylania tego typu plikow ale skopiowałem zawartość do nowego dokumentu tekstowego i wkleiłem tutaj w zalaczniku

Nowy Dokument tekstowy 222.txt

[picasso]

Wg raportu rootkit pomyślnie usunięty. Teraz wykonaj reset systemu i zestaw świeżych raportów:

 

3. Po restarcie zrób zaległy log z GMER i nowy OTL z opcji Skanuj.

 

I wypowiedz się czy po usunięciu rootkita Necurs nadal jest problem z urządzeniami (CD-ROM + pendrive).



.

[michalk]

Pendrive działa z 3 "dziur" z przodu. Elegancko się laduje. Plyt przeleciałem kilka i żadna nie startuje. IKONA w Mój komputer jest ciagle bez zmian - po "otworz" pusto. Czyli z CD-ROM nadal problem . Odpalam już GMER. WYKRYTO WIELE ZAGROZEN: 1. KON TROJANSKI Downloader.Gene.... 2. KON TROJANSKI Hider.STP. "Usunac wszystkie niewyleczone pliki" ????- to AVG alarm składnika wyskoczyl, to chyba nie gmer

[picasso]

Odpalam już GMER. WYKRYTO WIELE ZAGROZEN: 1. KON TROJANSKI Downloader.Gene.... 2. KON TROJANSKI Hider.STP. " Usunac wszystkie niewyleczone pliki " ????- to AVG alarm składnika wyskoczyl, to chyba nie gmer

 

Wyłącz AVG, by nie przeszkadzał, i proszę o nowe raporty GMER + OTL.

 

 

.

[michalk]

ok wylaczony na 15 min avg. Wiec jeszcze raz GMER. Zaznaczone jest " Quick scan ( przy tym jest ptaszek zaznaczony- c, d, e, f nie sa zaznaczone ) Za chwilke wrzuce nowy GMER. Moznaby troszkę miejsca zrobić mi na pliki. 4.78 z 4.88 MB wykorzystano. RAPORT DODANY Z GMER ( ponownie skopiowany do dok.tekstowego bo nie mam u[rawnien do wysylania). Zaraz dorzucę OTL. Nie wiem czy ma to jakiekolwiek znaczenie ale komputer stal od kilku godzin i jest " chłodny ", przedtem strasznie się grzal i dmuchal jak smok. OTL wykonane i dodane

Nowy dokument tekstowy (3).txt

Extras.Txt

OTL.Txt

[picasso]

Rootkit pomyślnie wyłączony, teraz należy dokasować jego sterownik. Zostały do usunięcia / korekty inne obiekty. Punkt 1 z importem pliku rejestru nie wygląda na wykonany, nadal widzę dopisane uruchamianie cmd jako linii komend.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
DRV - [2012-12-28 14:07:55 | 000,061,568 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\f99b5f3053fc0b87.sys -- (f99b5f3053fc0b87)
SRV - [2012-12-18 08:40:56 | 000,018,944 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\Kacper\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation\Update\nvupd32.exe -- (NvUpdSrv)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\DOCUME~1\Kacper\USTAWI~1\Temp\GUM37.tmp\1.3.21.124\npGoogleUpdate3.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\DOCUME~1\Kacper\USTAWI~1\Temp\GUM37.tmp\1.3.21.124\npGoogleUpdate3.dll File not found
 
:Files
rd /s /q "C:\Documents and Settings\Kacper\Pulpit\ESETNecursRemover.exe_20130307.180820.2872" /C
rd /s /q "C:\Documents and Settings\Kacper\Pulpit\ESETNecursRemover.exe_20130307.170907.1188" /C
rd /s /q "C:\Documents and Settings\Kacper\Pulpit\ESETNecursRemover.exe_20130307.165854.1436" /C
rd /s /q "C:\Documents and Settings\Kacper\Pulpit\ESETNecursRemover.exe_20130307.165550.1400" /C
rd /s /q "C:\Documents and Settings\Kacper\Pulpit\ESETNecursRemover.exe_20130307.165547.1388" /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Wyczyść przeglądarki z adware i usuń zbędniki:

- Goopgle Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Conduit z listy, w Rozszerzeniach odinstaluj uTorrentControl2.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, Bing Bar, Yahoo! Detect.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do okna wklej:

 

:dir

C:\Documents and Settings\Kacper\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation /s

 

Klik w Look.

 

Dołącz log utworzony przez AdwCleaner.

 

 

Nie wiem czy ma to jakiekolwiek znaczenie ale komputer stal od kilku godzin i jest " chłodny ", przedtem strasznie się grzal i dmuchal jak smok.

 

Infekcja rootkit miała wpływ.

 

 

 

.

[michalk]

ZALACZAM LOG OTL.exe po WYKONAJ SKRYPT i po RESTART KOMPUTERA. ( za kilka chwil dalsza czesc ). Po wlaczeniu komputera zniklo już okno cmd w które musialem wpisac explorer.exe aby przedostać się do pulpitu. Już mam dostep i normalnie zalacza się normalny użytkownik Kacper.Jedynie co " nowe " to dźwięk pracy komputera ( taki jak kiedyś internet się laczyl - jak na reklamie - ale jest to ciche )

 

- Google Chrome: wejdź do ustawień i w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń Conduit z listy, w Rozszerzeniach odinstaluj uTorrentControl2.

 

NIE WIEM JAK TO WYKONAC, gdzie dokładnie wejść ? Google Chrome jak chce odpalić ikonkę- NIE WŁĄCZA SIE ani nic nie otwiera. W dodaj/usun programy usunięte Bing Bar- pozostałych 2 nie widać. Zresetowany program firefox.Drugi dokument dolaczam z AdwCleaner- po restarcie powstal raporcik( punkt 3. ). Zalaczony nowy plik OTL już bez extras. I ostatnie to log z System Look

Nowy dokument tekstowy.txt

Nowy Dokument tekstowy.txt

OTL.Txt

Nowy Dokument tekstowy 222.txt

[picasso]

NIE WIEM JAK TO WYKONAC, gdzie dokładnie wejść ? Google Chrome jak chce odpalić ikonkę- NIE WŁĄCZA SIE ani nic nie otwiera

 

Na liście zainstalowanych widziałam wpis Google Chrome. Skoro nie możesz uruchomić Google Chrome, to czy ta przeglądarka w ogóle wcześniej działała, czy to może jakieś odpadki? Wypowiedz się wyraźnie, gdyż od tego zależy mój następny krok tzn. usuwanie Google Chrome w całości.

 

 

 

 

.