Robson1989 Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Witam, widzę że jest tu dużo tematów związanych z tym problemem jednak czytając je i postępując wg wskazówek nie mogę się uporać z ukash. Problem wygląda następująco. Przy starcie windowsa pojawia się normalnie pulpit a potem nagle okno z dziwnymi informacjami że zablokowano mój komputer z powodu nie przestrzegania praw autorskich. Na dole jest miejsce na kod który mogę wykupić za 300 zł i nie mogę tego wyłączyć. Mogę odpalić tylko windowsa w trybie awaryjnym. Niestety nie mam pojęcia jak to ugryźć;/ Bardzo prosiłbym o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Tu niestety jest jeszcze inna infekcja - ZeroAccess i za usuwanie weźmiemy się jak zrobisz jeszcze raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
Robson1989 Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Oto wynik: SystemLook 30.07.11 by jpshortstuff Log created at 19:26 on 04/07/2012 by Vaio Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Vaio\AppData\Local\{7c2771f5-2a29-f4c0-1cb1-643d7e0aee3a}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania ponownie wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe () :Files C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094 C:\Users\Vaio\AppData\Roaming\hellomoto C:\Windows\Installer\{7c2771f5-2a29-f4c0-1cb1-643d7e0aee3a} C:\Users\Vaio\AppData\Local\{7c2771f5-2a29-f4c0-1cb1-643d7e0aee3a} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie z opcji Skanuj. Prezentujesz nowe logi z OTL, nowy z SystemLook na tym ustawieniu co poprzednio oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Robson1989 Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Teraz system odpalił się już w trybie normalnym:) SystemLook 30.07.11 by jpshortstuff Log created at 19:52 on 04/07/2012 by Vaio Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -= EOF =- FSS.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Obydwie infekcja zdjęte, ale po ZeroAccess musisz jeszcze naprawić szkody. Infekcja ta usunęła ci ważne usługi systemowe, które musisz odtworzyć. 1. Odbuduj skasowane usługi (w instrukcjach omiń zbyteczne sfc /scannow): Rekonstrukcja usług Zapory systemu Windows(MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS. Odnośnik do komentarza
Robson1989 Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Jeśli chodzi o centrum zabezpieczeń to w jakim pliku mam scalić FIX.REG? Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Nie bardzo rozumiem pytanie. Po prostu skopiuj sobie tekst, który masz tam w szarej ramce wklej w notatnik i zapisz jako fix.reg np. na pulpicie i uruchom opcją Scal Odnośnik do komentarza
Robson1989 Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Sorry, zrestartowałem i jest ok:) oto nowy fss.txt FSS.txt Odnośnik do komentarza
Landuss Opublikowano 4 Lipca 2012 Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Infekcja usunięta. Przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Robson1989 Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Dzięki za pomoc, wszystko działa pięknie! Odnośnik do komentarza
Rekomendowane odpowiedzi