Blokada "ukash"

[prz3m0]

Witam jestem nowy jako user ale na waszym forum goszczę dość często jako gość, wiele tematów mi pomogło ale z tym mam problem, mianowicie wczoraj gdy brat grał w counter-strike wyskoczyło to gówno za przeproszeniem. Proszę o pomoc, co mam zrobić za pomocą czego wygenerować logi ? A i jeszcze jedno, kiedyś popsułem Eseta i od tej pory zebrało się na pewno trochę wirusów itp. w tej chwili pobrałem pande, zobaczymy co wykaże. Jeszcze jedna sprawa, w tej chwili siedzę na koncie administratora, jedyne konto na jakim jest blokada to Dom (2 admin, nie mam żadnych uprawnień do przeglądania plików, nawet na pulpit nie mogę wejść) Proszę o w miarę szybkie odpowiedzi gdyż sprawa jest nie ciekawa, laptop jest taty.

 

@Edit: panda nic nie pokazała nawet 1 wiruska

 

@Edit2: Na końcie 'Dom' wyskakiwało okienko uruchom, po zalogowaniu. Pytało czy uruchomić teskmgr.exe (jakoś tak) jak zgodziłem się to wyskakiwało to okno z ukash.

[picasso]

Proszę o pomoc, co mam zrobić za pomocą czego wygenerować logi ?

 

To pytanie traktuję równoznacznie z nie przeczytaniem zasad działu (KLIK), które precyzyjnie wyszczególniają jakie logi są tu obowiązkowe.

 

 

Jeszcze jedna sprawa, w tej chwili siedzę na koncie administratora, jedyne konto na jakim jest blokada to Dom (2 admin, nie mam żadnych uprawnień do przeglądania plików, nawet na pulpit nie mogę wejść)

 

Logi z OTL powinny być wygenerowane z poziomu tego konta na którym jest problem, gdyż rejestry kont wybitnie się różnią. Spróbuj uruchomić Tryb awaryjny z obsługą Wiersza poleceń, wejść na poszkodowane konto Dom i w linii komend uruchomić narzędzie OTL w celu wykonania logów. Jeśli to okaże się niemożliwe, to ostatecznie zrób logi z poziomu konta Administrator, tylko że wtedy usuwanie niestety będzie kilkuetapowe, gdyż w pierwszym podejściu będzie awykonalnym usunąć wpis trojana z rejestru konta Dom.

 

 

 

 

.

[prz3m0]

ustawienia w otl dałem:

to co są procesy, moduły itd.. dałem wszystkie 'wszystko', skan plików 7 dni, wszystkie, wszystkie i skanuj

 

Mam kliknąć sprzątanie ?

[picasso]

prz3m0, by uzupełnić informacje, gdy nikt jeszcze nie odpisał, używa się opcji Edytuj. Posty powyżej sklejam.

 

 

ustawienia w otl dałem:

to co są procesy, moduły itd.. dałem wszystkie 'wszystko', skan plików 7 dni, wszystkie, wszystkie i skanuj

 

To nie jest prawidłowa konfiguracja. Przecież wszystko jest opisane z obrazkami w głównym przyklejonym: OTL. Wszystkie opcje mają być skonfigurowane na Użyj filtrowania a nie Wszystko. Proszę powtórzyć wytwarzanie raportów wg zaleconej konfiguracji i opcją Edytuj > użyj pełnego edytora podmienić załączniki powyżej w poście.

 

 

Mam kliknąć sprzątanie ?

 

Nie. Przecież to w ogóle nie ta opcja i nie teraz.

 

 

 

.

[prz3m0]

tylko otl było .. nie wiem czemu ale już nie wyskakuje mi ani uruchom do tego wira ani samo okno, to chyba dobrze .. ale niestety w niewyjaśniomy sposób straciłem stery audio (już zainstalowane)

 

@Edit: to jest log z SecurityCheck.exe

 

Results of screen317's Security Check version 0.99.42

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

Panda Cloud Antivirus

ESET Smart Security 5.0

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Toolbar Cleaner 1.0

JavaFX 2.1.1

Java 6 Update 21

Java 6 Update 22

Java 7 Update 5

Adobe Flash Player 11.2.202.235

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox (13.0.1)

````````Process Check: objlist.exe by Laurent````````

Panda Security Panda Cloud Antivirus PSANHost.exe

Panda Security Panda Cloud Antivirus PSUNMain.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

OTL.Txt

[picasso]

tylko otl było ..

 

W instrukcji zostało wyróżnione na różowym tle, iż OTL uruchomiony więcej niż raz przestawia opcję odpowiedzialną za generowanie drugiego pliku Extras, oraz co należy przestawić by ten plik pozyskać ("Rejestr - skan dodatkowy" ustawione na "Użyj filtrowania"). Dorzuć brakujący plik Extras w poście powyżej.

 

 

nie wiem czemu ale już nie wyskakuje mi ani uruchom do tego wira ani samo okno, to chyba dobrze ..

 

Ja tu rzeczywiście nie widzę już tej infekcji w raportach. Być może jednak któryś ze stosowanych przez Ciebie skanerów to zlikwidował. Do wykonania za to:

 

1. Odinstaluj adware Reganam Community Toolbar. Deinstalację przeprowadź w dwóch miejscach: menedżer dodatków Firefox oraz Panel sterowania.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:Files
C:\Documents and Settings\Dom\Dane aplikacji\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zastosuj AdwCleaner z opcji Delete.

 

 

 

 

 

.

[prz3m0]

Takie coś otrzymałem po restarcie:

 

All processes killed

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

========== FILES ==========

C:\Documents and Settings\Dom\Dane aplikacji\hellomoto folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Dom

->Temp folder emptied: 774183914 bytes

->Temporary Internet Files folder emptied: 8581598 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 156045395 bytes

->Flash cache emptied: 6451 bytes

 

User: LocalService

->Temp folder emptied: 82513 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352022 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 39171648 bytes

RecycleBin emptied: 815 bytes

 

Total Files Cleaned = 935,00 mb

 

 

OTL by OldTimer - Version 3.2.53.1 log created on 07032012_124242

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

 

3. Zastosuj AdwCleaner z opcji Delete.

 

Możesz rozwinąć ? Nie załapałem co co ci chodzi, wszystkiego z tego linku nie pobiorę ...

[picasso]

Skrypt poprawnie wykonany.

 

 

Możesz rozwinąć ? Nie załapałem co co ci chodzi, wszystkiego z tego linku nie pobiorę ...

 

W spisie narzędzi klikasz na "AdwCleaner", co przeniesie Cię do stosownego posta opisowego dedykowanego tylko temu narzędziu. Tam jest link pobierania ... Chodzi tylko i wyłącznie o pobranie narzędzia AdwCleaner, a nie wszystkich opisywanych w temacie, jego uruchomienie, zastosowanie w nim opcji Delete, z czego powstanie na dysku C log.

 

 

.

[prz3m0]

# AdwCleaner v1.701 - Logfile created 07/03/2012 at 21:26:30

# Updated 02/07/2012 by Xplode

# Operating system : Microsoft Windows XP Dodatek Service Pack 3 (32 bits)

# User : Dom - X-47D1EF50FAA04

# Running from : C:\Documents and Settings\Dom\Pulpit\adwcleaner.exe

# Option [Delete]

 

***** [services] *****

 

***** [Files / Folders] *****

Folder Deleted : C:\Program Files\Conduit

***** [Registry] *****

[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT1601497

Key Deleted : HKCU\Software\Conduit

Key Deleted : HKCU\Software\ConduitSearchScopes

Key Deleted : HKCU\Software\Smartbar

Key Deleted : HKCU\Software\Softonic

Key Deleted : HKLM\SOFTWARE\Conduit

Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}

***** [internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[s1].txt - [1385 octets] - [03/07/2012 21:26:30]

########## EOF - C:\AdwCleaner[s1].txt - [1513 octets] ##########

 

 

proszę o zrobienie jakiegoś skryptu czy czego kolwiek co usunie z laptopa eseta (po ok 1min po zalogowaniu wyskakuje "błąd komunikacji z jądrem" po czym eset się wyłącza, więc nie widzę potrzeby aby był na laptopie.. chyba że jest jakaś możliwość uratowania eseta i 'podgląd/nadanie nowego' hasła)

[picasso]

proszę o zrobienie jakiegoś skryptu czy czego kolwiek co usunie z laptopa eseta (po ok 1min po zalogowaniu wyskakuje "błąd komunikacji z jądrem" po czym eset się wyłącza, więc nie widzę potrzeby aby był na laptopie.. chyba że jest jakaś możliwość uratowania eseta i 'podgląd/nadanie nowego' hasła)

 

W tym przypadku żadne skrypty. Skoro jest taki problem, to odinstaluj go naturalną drogą przez Panel sterowania, następnie przejdź w Tryb awaryjny Windows i zastosuj narzędzie ESET Uninstaller.

 

 

.

[prz3m0]

o to chodzi że potrzebne jakieś hasło kture zna tylko informatyk taty :/ on mi go nie poda

 

//

teraz pobrałem tego uinstallera i nic

[picasso]

o to chodzi że potrzebne jakieś hasło kture zna tylko informatyk taty :/ on mi go nie poda

 

Taki przypadek był na forum: KLIK. I bez problemu zostało użyte to:

 

 

teraz pobrałem tego uinstallera i nic

 

W jaki sposób uruchamiasz narzędzie (działa tylko i wyłącznie z poziomu Trybu awaryjnego), co w nim robisz?

 

 

 

 

.

 

 

[prz3m0]

Dobra udało się odinstalować ^^ można prosić o linki albo nazwy programów na xp które zwiększą wydajność laptopa , jedyne czego używam to GameBooster 3 na dole daję log z diagnostyki GB3

***************************

teraz potrzebuję pomocy przy drukarce ale nie wiem gdzie napisać :/ laptop nie widzi .. brother DCP-350C

 

@Edit: dodaję log z uinstallera

~ESETUninstaller.txt

GameBooster3.txt

[picasso]

W związku z pomyślną deinstalacją ESET wykonaj czynności zamykające sprawę infekcji:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner skorzystaj z Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj ważne aktualizacje: KLIK. W Security Check widać m.in. przestarzałe Java, Adobe Reader 9, Adobe Flash.

 

 

@Edit: dodaję log z uinstallera

 

Widzę, że początkowo po prostu źle odpowiadałeś w dialogach, dlatego narzędzie nic nie robiło. Na końcu jednak pomyślnie przeprowadzone działania.

 

 

można prosić o linki albo nazwy programów na xp które zwiększą wydajność laptopa

 

Moja rada: właśnie nie szukać takich rzeczy (w rozumieniu jakiś cudownych czyścicieli i "boosterów"). Natomiast proponuję kompleksową defragmentację dysku, w tym Boot Time dysku systemowego (do przesuwania plików, których spod działającego Windows nie da się przesunąć). Polecane darmowe programy z tą funkcją: PerfectDisk Free Defrag lub Puran Defrag Free Edition.

 

 

teraz potrzebuję pomocy przy drukarce ale nie wiem gdzie napisać :/ laptop nie widzi .. brother DCP-350C

 

Zdaje się, że dział Hardware będzie odpowiedni.

 

 

 

.

[prz3m0]

Dzięki jak skończę aktualizację to dam znać i prawdopodobnie będzie cl ^^

 

Wszystko ok można zamknąć.