baboo Opublikowano 21 Czerwca 2012 Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Witam wszystkich i prosze o pomoc ! Mam taki problem - mój komputer został zainfekowany wirusem, kompletnie zablokowany i teraz chce ode mnie kod UKASH. Próbowałem wpisać kod z generatora na stronie CERT-u (hxxp://www.cert.pl/news/5483) jednak nic to nie daje. Wyskakuje kolejna stronka że kod nieprawidłowy , a w przypadku odłączenia od neta ( odpięcie kabla sieciowego) wyświetla się stronka że adres niedostępny - i mogę jedynie wrócić wstecz. Na komputerze mam Windowsa XP, jestem w stanie uruchomić go wyłącznie w trybie awaryjnym z wierszem poleceń. Zrobiłem logi OTL , Gmer nie moge - wywala mi się , (i nie wiem jak usunąć w tym trybie Deamon Tools Lite). Uprzejmie proszę o pomoc, może z Waszym udziałem uda się usunąć to cholerstwo. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Czerwca 2012 Zgłoś Udostępnij Opublikowano 22 Czerwca 2012 Gmer nie moge - wywala mi się , (i nie wiem jak usunąć w tym trybie Deamon Tools Lite). Działa sterownik emulacji napędów wirtualnych: DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ajwizua5)DRV - [2007-02-09 14:18:56 | 000,611,064 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Nie wykonałeś fragmentu ogłoszenia opisującego narzędzie SPTDinst: KLIK. 1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O20 - HKLM Winlogon: Shell - (C:\DOCUME~1\Wojtek\USTAWI~1\Temp\tpl_0_c.exe) - C:\Documents and Settings\Wojtek\Ustawienia lokalne\Temp\tpl_0_c.exe () O20 - Winlogon\Notify\winmxw32: DllName - (winmxw32.dll) - File not found [2011-05-14 17:55:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Wojtek\Dane aplikacji\xqzcurfmbd2gdmdqub2pc1mxbnqj12ye2 [2012-06-21 13:08:44 | 000,000,242 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2012-06-21 13:08:43 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-2000478354-606747145-725345543-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" SRV - File not found [Auto | Stopped] -- C:\Program Files\Canon\CAL\CALMAIN.exe -- (CCALib8) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\UIUSys.sys -- (UIUSys) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ds1410d.sys -- (DS1410D) O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} "http://www.ipix.com/viewers/ipixx.cab" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\TEMP\win90.exe"=- "C:\Documents and Settings\Wojtek\Dane aplikacji\xqzcurfmbd2gdmdqub2pc1mxbnqj12ye2\svcnost.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Prawdopodobnie system już zostanie odblokowany. 2. Przez Panel sterowania odinstaluj śmieci: Facemoods Toolbar, Winamp Toolbar for Firefox. Popraw przez AdwCleaner z opcji Delete. 3. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz logi pozyskane z usuwania w punktach 1+2. . Odnośnik do komentarza
syrgyt Opublikowano 24 Czerwca 2012 Zgłoś Udostępnij Opublikowano 24 Czerwca 2012 nie musisz tak kombinowac ten syf rozpoznaje pierwsze szesc cyfr w tym kodzie resztza sie nie liczy jest generator tego kodu na tej stronce i ogolne zasady odblokowania kompa podaje tez szesc standardowych cyfr ktore musza sie znalezc w tym kodzie sa to pierwsze cyfry kodu 718001....10 pozostalych cyfr moze byc bylejaka i drugi kod 633781.... i pozostale 10 cyfr moze byc bylejakie jesli to nie zadziala skozystaj z porad i generatora kodu na stronce http://www.cert.pl/news/5483 powodzenia Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2012 Zgłoś Udostępnij Opublikowano 24 Czerwca 2012 nie musisz tak kombinowac Nie wiem co to za porada. Tu jest nie tylko UKASH i system należy wyczyścić, bo samoistnie nie znikną pewne obiekty. jesli to nie zadziala skozystaj z porad i generatora kodu na stronce http://www.cert.pl/news/5483 vs. Próbowałem wpisać kod z generatora na stronie CERT-u (hxxp://www.cert.pl/news/5483) jednak nic to nie daje. . Odnośnik do komentarza
baboo Opublikowano 24 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2012 Dzięki picasso za fachową pomoc w odblokowaniu kompa ! Teraz znowu działa - jeszcze raz wielkie dzięki! Wracając do Twoich wskazówek, odinstalowałem Deamon Tools za pomocą SPTDinst i usunąłem ręcznie wpisy w rejestrze jednak chyba nie wszystkie bo przy starcie kompa po uruchomieniu Windowsa wyskakuje okno : Initialization error 0. This program requires at least Windows 2000 with SPTD 1.28 or higher.Kernel debugger must be dactivated. 1. Wkleiłem Twój skrypt do OTL : 06242012_121115.txt 2. Wyczyściłem Toolbar-y : AdwCleaner[s1].txt 3. Wygenerowałem log z OTL : OTL.txt i próbowałem uruchomić GMER, niestety nieskutecznie ( wywala mi blue screen i błyskawicznie resetuje kompa- bez szans na przeczytanie co tam jest napisane) 4. Dlatego zrobiłem dodatkowy raport za pomocą RootRepeal : RootRepeal report 06-24-12 (14-29-53).txt 5. oraz na koniec z trybu awaryjnego udało mi się uruchomic GMER : GMER.txt Czekam na Twoją opinie co dalej - czy już wszystko jest ok . Pozdrawiam @syrgyt - niestety wszystko o czym piszesz próbowałem - bezskutecznie. AdwCleanerS1.txt GMER.txt OTL.Txt RootRepeal report 06-24-12 (14-29-53).txt 06242012_121115.txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2012 Zgłoś Udostępnij Opublikowano 24 Czerwca 2012 Wracając do Twoich wskazówek, odinstalowałem Deamon Tools za pomocą SPTDinsti usunąłem ręcznie wpisy w rejestrze jednak chyba nie wszystkie bo przy starcie kompa po uruchomieniu Windowsa wyskakuje okno : Initialization error 0. This program requires at least Windows 2000 with SPTD 1.28 or higher.Kernel debugger must be dactivated. Tak się dzieje, gdy: usunięty zostanie sterownik SPTD ale nie program główny. I OTL o tym mówi: ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) ========== Standard Registry (SafeList) ========== O4 - HKLM..\Run: [DAEMON Tools] C:\Program Files\DAEMON Tools\daemon.exe (DT Soft Ltd.) W aktualnej sytuacji należy uzupełnić z powrotem SPTD, stosując w narzędziu SPTDinst odwrotność (czyli tym razem instalację), by ożywić program główny, gdyż bez SPTD on nawet nie da rady się odinstalować (błąd o "naruszeniu integralności instalacji"). Prawie wszystko wykonane. Drobne poprawki do przeprowadzenia pod kątem odpadków adware: 1. W Google Chrome w menedżerze rozszerzeń odinstaluj Facemoods. 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-09-18 10:59:34 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\Profiles\8bci5w5v.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2009-07-02 12:16:57 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\Profiles\8bci5w5v.default\searchplugins\winamp-search.xml Klik w Wykonaj skrypt. Tylko ten log wystarczy do oceny. . Odnośnik do komentarza
baboo Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Zrobione zgodnie z Twoimi poleceniami. Log z OTL po wykonaiu skryptu dołączony. Teraz już wszystko ok ? Jeszcze raz dziękuję i pozdrawiam. 06262012_152223.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Kończymy czyszczenie: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner zastosuj Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek jeszcze przeskanuj system za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile będzie co prezentować (nie ma potrzeby pokazywać raportu, że nic nie zostało wykryte). . Odnośnik do komentarza
baboo Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Sprzątanie zakończone, niestety Malwarebytes Anti-Malware coś jeszcze wykrył. Podpinam loga. Co jeszcze z tym dziadostwem zrobić ? mbam-log-2012-07-04 (19-40-26).txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 1. Usuń za pomocą programu te wyniki i ponów czyszczenie folderów Przywracania systemu. 2. Zaktualizuj oprogramowanie: KLIK. Z Twojej listy zainstalowanych: Internet Explorer (Version = 7.0.5730.11) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{09C85E5A-3E10-4268-904C-BACEF16ECEF0}" = ESET NOD32 Antivirus"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 22"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java SE Runtime Environment 6 Update 1"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Google Chrome" = Google Chrome"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4) Sugeruję wymianę oprogramowania antywirusowego. Przestarzały ESET NOD. 3. Na wszelki wypadek zmień hasła logowania w serwisach. . Odnośnik do komentarza
baboo Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Wszystko zrobiłem zgodnie z poleceniami, już jest ok . Dziękuję pięknie za pomoc w rozwiązaniu problemu i cierpliwość w podejściu do mnie :-) Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi