Komputer zablokowany kodem ukash

[Tiuro]

Witam,

 

Podczas przeglądania stron internetowych wyskoczyła dość dobrze znana na forum blokada ukash.

Po paru resetach (oczywiście bez skutku) blokada zmieniła swój wygląd, mianowicie cały panel wpisywania kodu ukash i wszystkie napisy zniknęły, pojawia się tylko białe tło. Aktualnie komputer pracuje na trybie awaryjnym. Byłbym bardzo wdzięczny za pomoc.

OTL.Txt

Extras.Txt

[picasso]

System jest również makabrycznie zaśmiecony adware / sponsorami. Brak uwagi przy instalacjach i nie odznaczone pozycje wprowadzające brud.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-879908599-860892686-4261458584-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-879908599-860892686-4261458584-1000..\Run: [jhcvjkwnyxyuwnk] C:\ProgramData\jhcvjkwn.exe ()
[2012-06-28 14:27:05 | 000,000,000 | ---D | C] -- C:\ProgramData\ukuhtofwxsvfcsk
[2012-06-28 14:27:07 | 000,000,052 | ---- | M] () -- C:\ProgramData\aeysqocnfghkocy
[2012-06-28 14:26:59 | 000,112,640 | ---- | M] () -- C:\ProgramData\lgzcpnzp.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7CF4D730-3F06-4186-ABAB-AE7C63970BAE}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{F93832C8-AAC6-4E67-9705-D932375861AF}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj adware: Babylon / Babylon toolbar on IE, Conduit Engine, IObit Toolbar, MediaBar, MyAshampoo Toolbar, StartNow Toolbar, Yontoo, vShare Plugin, Winamp Toolbar. Również możesz się pozbyć 50 FREE MP3s +1 Free Audiobook! (od WinAmp) i Akamai NetSession Interface. Powtórz usuwanie śmieci w menedżerze dodatków Firefox.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania narzędziami w punktach 1+3.

 

 

 

.

[Tiuro]

Komputer został odblokowany za co jestem bardzo wdzięczny.

Podczas 2-go skanowania przypadkowo wcisnąłem przycisk "sprzątanie" więc logu do pierwszego punktu nie załączę.

 

Czy są programy które mogą powstrzymać takie blokady?

AdwCleanerS1.txt

OTL.Txt

[picasso]

Duża poprawa w wyglądzie preferencji przeglądarek, ale należy jeszcze wykonać korekty polegające na usunięciu martwych wpisów po deinstalacjach.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.647: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.647: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll File not found
O2:64bit: - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll File not found
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - !{5911488E-9D1E-40ec-8CBB-06B231CC153F} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{5911488E-9D1E-40ec-8CBB-06B231CC153F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Rafał\AppData\Local\Akamai\netsession_win.exe" File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Wystarczy do oceny tylko log z wynikami usuwania. Nie ma potrzeby tworzyć nowego z opcji Skanuj.

 

 

Czy są programy które mogą powstrzymać takie blokady?

 

Nie znam odpowiedzi na to pytanie, nie potrafię wskazać oprogramowania zabezpieczającego, które jest zdolne wykonać tu pożądaną reakcję i zapobiec temu szczególnemu wariantowi ransomware. Na forum przypadki UKASH z bardzo różnym oprogramowaniem, tak komercyjnym jak i darmowym. Ogólnie rzecz biorąc antywirus powinien mieć system klasyfikacji witryn + osłonę web czasu rzeczywistego, która blokuje dostęp do szkodliwej strony przed jej otworzeniem. Inna sprawa, że program może nie mieć stosownych danych, by witrynę zablokować... Ponadto, jest istotnym mieć dobrze zaktualizowane przeglądarki i ich wtyczkowania (do tego jeszcze przejdziemy). Luki w Adobe Flash czy Java to duże pole do popisu dla witryn wykonujących auto-ładowanie infekcji. Ba, pojawił się nawet model infekcji, który nie tworzy żadnych plików w systemie, skrypt witryny jest ładowany wprost z www do pamięci procesu Java (czyli infekcja działa "w RAM").

 

Tak się zastanawiam:

 

Podczas przeglądania stron internetowych wyskoczyła dość dobrze znana na forum blokada ukash.

 

.... jaką stronę odwiedzałeś. Skąd ta plaga na forum, tyle poszkodowanych. Coś Was musi łączyć, jakiś schemat zachowania.

 

 

.

[Tiuro]

log z usuwania

06292012_015118.txt

[picasso]

W porządku. Przechodzimy do czynności finalizujących:

 

1. Nie zauważyłam jeszcze na Twojej liście zainstalowanych pozycji eBay. Jeśli nie instalowałeś celowo, pozbądź się tego.

 

2. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wspominane aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych wykaz wersji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

5. Na wszelki wypadek zmiana haseł logowania w serwisach.

 

 

PS. A jeśli szukasz alternatywy dla pamięciożernego potwora reklamodawczego GG10, to poczytaj materiał Darmowe komunikatory. Propozycje: AQQ, Kadu, WTW, Miranda.

 

 

.

[Tiuro]

Przy wchodzeniu w zakładkę Ochrona systemu pojawią się błąd: Błąd przywracania dysku. Spróbuj ponownie użyć przywracania systemu. (0x81000203) a przy wyborze dysków pokazana jest informacja o wyszukiwaniu dysków.

[picasso]

Przeprowadź weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Przedstaw wynikowy log.

[Tiuro]

Gotowe. Wynik: "Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności".

[picasso]

Nic nie zostało wykryte jako uszkodzone.

 

1. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj poniższe usługi, przez dwuklik wejdź do ich Właściwości i upewnij się, że ich Typy uruchomienia są równe Ręczny.

• Dostawca kopiowania w tle oprogramowania firmy Microsoft
  
• Dysk wirtualny
  
• Kopiowanie woluminów w tle
  

Przy okazji, w Dzienniku zdarzeń masz taki błąd:

 

Error - 2012-06-28 15:28:35 | Computer Name = Rafał-TOSHIBA | Source = Service Control Manager | ID = 7001
Description = Usługa Przeglądarka komputera zależy od usługi Serwer, której nie 
można uruchomić z powodu następującego błędu:   %%1068

 

Dla usługi Serwer przestaw Typ uruchomienia na Automatyczny.

 

2. Zresetuj system i sprawdź czy są jakieś zmiany.

 

 

 

.

[Tiuro]

Wprowadzane zmiany pomogły aczkolwiek usługa Serwer była już ustawiona na typ Automatyczny.

[picasso]

A czy usługa Serwer ma stan "Uruchomiono"? Jeśli nie, to czy reaguje na przycisk sterujący, tzn. da się ją ręcznie uruchomić?

[Tiuro]

Jest już uruchomiona.

[picasso]

W takiej sytuacji sprawa zdaje się być zamknięta. Nie omiń zaleceń końcowych tyczących aktualizacji i haseł. Jeśli nie masz więcej pytań, daj sygnał do zamknięcia tematu.

[Tiuro]

Wszystko załatwione, Dzięki za nieocenioną pomoc.