Malware - blokada komputera, kod ucash

[45285]

Witam

Dziś rano po włączeniu komputera zobaczyłem, że system jest zablokowany. Problem jest powszechnie znany, pisze że komputer był nielegalnie wykorzystywany i chce abym zapłacił 500 zł przez ucash. Nie wiem dlaczego tak się stało ani jak sobie z tym problemem poradzić. Mój system to windows 7 64 bit. Jestem świeżo zarejestrowanym użytkownikiem i nie znam się za bardzo na komputerach dlatego proszę o cierpliwość i wyrozumiałość. Przesyłam logi z OTL. Logów z gmer nie mogę uzyskać z powodu wersji systemu. Jeśli powinienem jeszcze coś dołączyć to proszę dać mi znać.

Z góry dziękuje za wszelką pomoc.

 

http://www.wklej.org/id/830845/txt/

http://www.wklej.org/id/830848/txt/

[picasso]

Widzę starsze ślady stosowania ComboFix:

 

[2012-02-14 03:46:31 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2012-02-14 03:46:30 | 000,000,000 | --SD | C] -- C:\ComboFix_www.INSTALKI.pl_

 

Na przyszłość: serwis ten nie ma autoryzacji i może udostępniać przeterminowaną kopię. Jedyne prawidłowe linki ComboFix to te w przyklejonym: KLIK.

 

 

---

Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [DriverFinder] C:\Program Files (x86)\DriverFinder\DriverFinder.exe File not found
O4 - HKCU..\Run: [qpwnjduodavlouv] C:\ProgramData\qpwnjduo.exe ()
[2012-07-05 13:38:23 | 000,000,000 | ---D | C] -- C:\ProgramData\xwszphdtyvssuvv
[2012-07-05 13:38:25 | 000,000,051 | ---- | M] () -- C:\ProgramData\dmsgqhakkjexgfj
[2012-07-05 13:38:14 | 000,061,440 | ---- | M] () -- C:\Users\admin\0.4775052143687126.exe
[2012-04-11 19:27:38 | 000,000,000 | -HSD | C] -- C:\found.001
[2012-04-01 10:09:09 | 000,000,000 | -HSD | C] -- C:\found.000
[2012-03-31 21:46:36 | 000,042,672 | ---- | C] () -- C:\Windows\SysWow64\drivers\fsbts.sys
[2012-03-31 05:12:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\ArcaBit
[2012-03-30 20:29:59 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\ArcaVirMicroScan
[2012-04-10 16:29:29 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DriverFinder
[2012-03-31 20:05:32 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\f-secure
[2012-01-18 20:33:52 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Yandex
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\Yandex]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania.

 

2. Odinstaluj wątpliwe aplikacje / adware:

- Przez Panel sterowania: FoxTab Media Player, Hotspot Shield 2.53 (KLIK), MyTools (KLIK), Premiumplay Codec-Cs.

- Przez menedżer dodatków Firefox: rosyjskie rozszerzenie kierujące na Yandex, Codec-V, Hotspot Shield Helper, MyTools.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras, ponadto zaznacz opcję Pomiń pliki Microsoftu). Dołącz logi z usuwania OTL + AdwCleaner pozyskane w punktach 1+3.

 

 

 

.

[45285]

Picasso jesteś geniuszem . Może podpowiesz gdzie albo z czego można się tyle nauczyć . Wszystko zrobione zgodnie z instrukcją, dołączam logi.

Dzięki Wielkie raz jeszcze.

Pozdr

OTL.Txt

AdwCleanerS1.txt

07052012_212155.txt

[picasso]

Wymagane drobne poprawki.

 

1. Po deinstalacji HotSpota pozostały sterowniki:

 

DRV:64bit: - [2011-07-01 10:46:40 | 000,031,232 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\tap0901.sys -- (tap0901)
DRV:64bit: - [2010-09-22 21:19:02 | 000,037,888 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\taphss.sys -- (taphss)

 

Akcja wstępna, by zapobiec padowi sieci po usunięciu tych sterowników od ręki: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne sprawdzasz jakich komponentów używa połączenie. Szukaj wpisów pasujących do HotSpota, znalezione podświetl i odinstaluj.

 

2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\8njb6vz0.default\extensions\crossriderapp435@crossrider.com
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\8njb6vz0.default\extensions\yasearch@yandex.ru
C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\8njb6vz0.default\searchplugins\bing-zugo.xml
 
:OTL
FF - prefs.js..keyword.URL: "http://www.bing.com/search?pc=Z128&form=ZGAADF&install_date=20111104&q="

 

Klik w Wykonaj skrypt. Tym razem pojedzie bez restartu.

 

3. Zdaje się, iż jest tu problem ze Zmiennymi środowiskowymi, gdyż OTL pokazuje explorer.exe jako "not found" (to z pewnością nieprawda). Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

 

Jeśli jest, ale ma inny ciąg, zedytuj. Jeśli w ogóle jej nie ma, opcją Nowa... utwórz.

 

 

 

Może podpowiesz gdzie albo z czego można się tyle nauczyć

 

Zwykle odpowiadam w tym stylu: KLIK. Nie uczyłam się tego "tematu", uczyłam się czegoś innego = Windows. Sprawność w logach przyszła mi w naturalny sposób, bez przystosowań pod tym kątem. Logi to tylko zniekształcony formatowaniem odczyt z systemu.

 

 

 

 

.