Problem z Ukash i trybem awaryjnym

[bukaldj]

Witam problem jak w temacie tryb awaryjny  pojawia się na moment

i wyskakuje zamykanie systemu. Jakby ukash wymuszał restartowanie trybu awaryjnego. Co robić? Proszę o pomoc.   

 

Dołączam log z OTL.

OTL1.Txt       

 

[picasso]

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów (wydzielone). A log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

Co do Trybu awaryjnego: powinien działać Tryb awaryjny z Wierszem polecenia, normalny nie, gdyż infekcja dopisała się do Shella (powłoki graficznej) bieżącego użytkownika. A śladów infekcji większa ilość niż tylko blokada.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Users\DANIEL\AppData\Roaming\skype.dat
C:\Users\DANIEL\AppData\Roaming\skype.ini
C:\Users\DANIEL\AppData\Roaming\Babylon
C:\Users\DANIEL\AppData\Roaming\Bofa
C:\Users\DANIEL\AppData\Roaming\Rouwiz
C:\Users\DANIEL\AppData\Roaming\x3kijjemskhvbeptcppqf2sjhun2lnlg2
C:\Users\DANIEL\AppData\Roaming\Zovu
C:\ProgramData\2D16D
F:\RECYCLER
 
:OTL
IE - HKLM\..\SearchScopes\{84D08577-1CB0-4FA3-944E-59FB716E3BA4}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com//web?src=ieb&q={searchTerms}
IE - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=110000&tt=090212_ctrl&babsrc=SP_ss&mntrId=e231217c0000000000000022fac029e2
IE - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004\..\SearchScopes\{84D08577-1CB0-4FA3-944E-59FB716E3BA4}: "URL" = http://www.tangosearch.com/?q={searchTerms}&a=SEARCH
IE - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com//web?src=ieb&q={searchTerms}
IE - HKU\S-1-5-18\..\SearchScopes\{9E97782C-FCA4-4365-A16A-A4E563F293BD}: "URL" = http://www.spacequery.com/?prt=SPACEQUERY199&keywords={searchTerms}
FF - HKEY_LOCAL_MACHINE\software\mozilla\FireFox\extensions\\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}: C:\Users\DANIEL\AppData\Roaming\Mozilla\FireFox\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}] C:\Windows\test.bat File not found
O4 - HKLM..\Run: [VeriFaceManager] C:\Program Files\Lenovo\VeriFace\PManage.exe File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" File not found
O4 - HKU\S-1-5-18..\Run: [] File not found
O4 - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004..\Run: [Yxpimeygs] C:\Users\DANIEL\AppData\Roaming\Rouwiz\fepey.exe File not found
O7 - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Visan = C:\Users\DANIEL\AppData\Roaming\F9C322.exe
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\msvvpjew.sys -- (msvvpjew)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Windows zostanie odblokowany, logujesz się więc już normalnie.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (przypominam o pliku Extras) oraz USBFix z opcji Listing utworzony przy podpiętym tu pendrive widzialnym pod literą F. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner z punktu 3.

 

 

 

.

[bukaldj]

Przepraszam za podpięcie się pod temat

Postąpiłem według instrukcji i wszystko wydaje się wróciło do normy. Wielkie dzięki za pomoc!

Poniżej wklejam logi:

AdwCleanerS1.txt

UsbFix Listing 1 .txt

log z usuwania OTL.txt

OTL.Txt

Extras.Txt

 

Pozdrawiam

 

[picasso]

Zadania prawidłowo wykonane. Mam jednak pytanie, czy wiesz od czego jest ten wpis Galileo:

 

O4 - HKU\S-1-5-21-2613092670-2568569639-2008659395-1004..\Run: [Galileo] C:\Users\DANIEL\AppData\Local\Galileo\galileo.exe ()

 

I przejdź do wykończeń:

 

1. Drobne poprawki i reset reguł Zapory. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób pełne skanowanie w posiadanym i zaktualizowanym Malwarebytes Anti-Malware. Jeśli coś znajdzie, przedstaw raport.

 

 

 

 

.

[bukaldj]

"Galileo" znalazłem w menu programy z możliwością deinstalacji i odinstalowałem.

 

Wklejam loga po skanowaniu Malwarebytes Anti-Malware znalazł 23 obiekty usunąłem wszystkie.

 

MBAM-log-2013-05-01 (22-48-00).txt

 

Jeszcze raz bardzo dziękuje za szybką pomoc

[picasso]

1. Wyniki MBAM: wykrycie SnadBoy's Revelation v2 i Wirelesskeyview to kwestia interpretacyjna, programy do podglądu / wyciągania haseł zawsze będą budziły zainteresowanie skanera, a ich nieszkodliwość definiuje czy była to celowa instalacja użytkownika. Reszta wyników owszem podejrzana, usunięcie prawidłowe.

 

2. Na koniec obowiązkowe aktualizacje Windows i aplikacji: KLIK. Wg Twojej listy zainstalowanych system ma krytyczny poziom zabezpieczeń i widać wersje (w tym dziurawą Java, a to jedna z dróg tej infekcji "policyjnej"):

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Internet Explorer (Version = 7.0.6001.18000)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5

"{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

 

Czyli: odinstaluj wszystkie wystąpienia Adobe + Java, zaktualizuj Firefox, zaktualizuj Vista (instalacja SP2 + IE9 + reszty łat), zaktualizuj SQL Server 2005 (KB913089).

 

Dodatkowa uwaga poboczna: posiadasz Gadu-Gadu 7.7. Program stary, nie obsługuje w pełni własnej sieci (brak obsługi nowego protokołu GG11), słabo zabezpieczony (brak szyfrowania połączeń). Polecam alternatywny nowoczesny zamiennik z dobrą obsługą Gadu: WTW. Pełny opis komunikatora: KLIK.

 

 

.