Ukash - komputer został zablowowany... Proszę o pomoc

pawelm · 6 Lipca 2012

Witam,

włączyłem dzisiaj komputer i wyskoczyło mi

Ukash - Komputer został zablokowany z powodu naruszenia prawa polskiego!

Proszę o pomoc

Uruchomiłem komputer w trybie awaryjnym z siecią.

OTL.Txt

Extras.txt

pawelm · 7 Lipca 2012

Odnawiam swoją prośbę o pomoc.

Komputer w dalszym ciągu po włączeniu nie odpowiada, wyskakuje ekran z ww. informacją.

Pracuję w trybie awaryjnym.

picasso · 7 Lipca 2012

pawelm, odświeżanie a zasady działu: KLIK. Takie "odświeżanie" to prędzej zaliczy kosz niż cokolwiek przyśpieszy ...

Są tu różne dewiacje widoczne:

1. Sekcja sterowników wygląda nienormalnie, są zablokowane (brak poboru danych):

========== Driver Services (SafeList) ==========

DRV:64bit: - [2012-06-29 18:14:49 | 000,294,248 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\SysNative\Drivers\vmm.sys -- (vmm)

DRV:64bit: - [2012-01-18 08:44:36 | 004,865,568 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\lvuvc64.sys -- (LVUVC64) Logitech HD Pro Webcam C910(UVC)

DRV:64bit: - [2012-01-18 08:44:28 | 000,351,136 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\lvrs64.sys -- (LVRS64)

DRV:64bit: - [2012-01-18 08:44:14 | 000,025,632 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\lvbflt64.sys -- (CompFilter64)

DRV:64bit: - [2011-07-27 11:30:40 | 000,024,456 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\BtHidBus.sys -- (BtHidBus)

DRV:64bit: - [2011-01-03 23:21:05 | 000,834,544 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)

DRV:64bit: - [2010-08-04 22:17:14 | 001,342,064 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService)

DRV:64bit: - [2010-05-15 00:01:02 | 000,068,064 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\lvsels64.sys -- (lvsels64)

DRV:64bit: - [2010-05-07 19:43:30 | 000,030,304 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LVPr2M64.sys -- (LVPr2Mon)

DRV:64bit: - [2010-05-07 19:43:30 | 000,030,304 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\LVPr2M64.sys -- (LVPr2M64)

DRV:64bit: - [2010-04-27 10:30:52 | 000,184,968 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\nusb3xhc.sys -- (nusb3xhc)

DRV:64bit: - [2010-04-27 10:29:54 | 000,083,080 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\nusb3hub.sys -- (nusb3hub)

DRV:64bit: - [2010-04-06 19:33:10 | 000,030,088 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\btnetBus.sys -- (btnetBUs)

DRV:64bit: - [2010-04-06 19:32:48 | 000,027,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\IvtBtBus.sys -- (IvtBtBUs)

DRV:64bit: - [2010-01-28 16:25:02 | 000,086,120 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2009-12-03 07:00:00 | 000,103,224 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\DRIVERS\WibuKey64.sys -- (WIBUKEY)

DRV:64bit: - [2009-09-22 01:29:22 | 000,016,168 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\wacomvhid.sys -- (wacomvhid)

DRV:64bit: - [2009-07-09 04:00:00 | 000,055,280 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\Drivers\PxHlpa64.sys -- (PxHlpa64)

DRV:64bit: - [2009-05-25 08:51:00 | 000,207,872 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169)

DRV:64bit: - [2009-03-27 01:23:54 | 000,019,432 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\cpuz132_x64.sys -- (cpuz132)

DRV:64bit: - [2008-08-28 11:44:42 | 000,025,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\pccsmcfdx64.sys -- (pccsmcfd)

DRV:64bit: - [2008-05-10 03:58:09 | 000,140,288 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\DRIVERS\RMCAST.sys -- (RMCAST) Sterownik protokołu RMCAST (Pgm)

DRV:64bit: - [2008-02-05 02:50:42 | 000,079,416 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\VMNetSrv.sys -- (VPCNetS2)

DRV:64bit: - [2008-01-18 23:47:14 | 000,046,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb)

DRV:64bit: - [2008-01-18 23:38:18 | 000,011,264 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\RootMdm.sys -- (ROOTMODEM)

DRV:64bit: - [2008-01-18 23:36:22 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\loop.sys -- (msloop)

DRV:64bit: - [2008-01-18 22:53:42 | 000,016,384 | ---- | M] () [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)

DRV:64bit: - [2008-01-05 04:22:48 | 000,214,016 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\b57nd60a.sys -- (b57nd60a)

DRV:64bit: - [2007-04-27 08:40:00 | 000,142,120 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\Drivers\Sentinel64.sys -- (Sentinel64)

DRV:64bit: - [2007-02-16 21:12:36 | 000,012,848 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\wacommousefilter.sys -- (wacommousefilter)

DRV:64bit: - [2006-12-13 18:14:14 | 000,065,024 | ---- | M] () [File_System | Auto | Stopped] -- C:\Windows\SysNative\DRIVERS\aksdf.sys -- (aksdf)

DRV:64bit: - [2006-12-04 10:44:14 | 000,314,368 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\hardlock.sys -- (Hardlock)

DRV:64bit: - [2006-10-31 17:23:42 | 000,015,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ASACPI.sys -- (MTsensor)

DRV:64bit: - [2005-04-05 16:35:24 | 000,216,064 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\b57amd64.sys -- (b57nd)

Ten objaw jest charakterystyczny dla rootkita Necurs. Wprawdzie nic tu pośrednio na dysku nie wskazuje na jego obecność, ale kto wie. Pytanie: czy masz wlączony tzw. Tryb testowy i widoczny watermark z takim napisem na Pulpicie?

2. Następnie, plik Windows jest pokazany jako niesygnowany:

O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe ()

Przypuszczalnie jedno z trzech: zablokowany, zainfekowany lub uszkodzony.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4:64bit: - HKLM..\Run: [xinput1_3] C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504\xinput1_3.exe ()
O4 - HKU\S-1-5-21-1460607878-979439292-1096117401-1000..\Run: []  File not found
O7 - HKU\S-1-5-21-1460607878-979439292-1096117401-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504
C:\Users\Pawel\AppData\Roaming\hellomoto
C:\ProgramData\99058D65000173FD000B873DEEC1FB38
C:\Windows\svchost.exe
C:\Windows\Tasks\At*.job
C:\Windows\SysWow64\mbf7h5p.dll
C:\Windows\SysWow64\grcauth2.dll
C:\Windows\SysWow64\grcauth1.dll
C:\Windows\SysWow64\clauth2.dll
C:\Windows\SysWow64\clauth1.dll
C:\Windows\SysWow64\pjpo2id.dll
C:\Windows\SysWow64\prsgrc.dll
C:\Windows\SysWow64\ssprs.dll
C:\Windows\SysWow64\zd13bxc.dll
C:\Windows\SysWow64\z191ry8.dll
C:\Windows\SysWow64\yf3knkn.dll
C:\Windows\SysWow64\y9z6cez.dll
C:\Windows\SysWow64\y75kx9y.dll
C:\Windows\SysWow64\xs5np50.dll
C:\Windows\SysWow64\xrg5p7q.dll
C:\Windows\SysWow64\xrelnte.dll
C:\Windows\SysWow64\xr32egm.dll
C:\Windows\SysWow64\xoly9vu.dll
C:\Windows\SysWow64\xntagtq.dll
C:\Windows\SysWow64\xdhlot6.dll
C:\Windows\SysWow64\xckpvzn.dll
C:\Windows\SysWow64\x6qm8xp.dll
C:\Windows\SysWow64\x410gu2.dll
C:\Windows\SysWow64\wwbw203.dll
C:\Windows\SysWow64\wp0hgwj.dll
C:\Windows\SysWow64\wib1d9n.dll
C:\Windows\SysWow64\weae419.dll
C:\Windows\SysWow64\w1qm3yk.dll
C:\Windows\SysWow64\vy1l3xe.dll
C:\Windows\SysWow64\vtwi8ds.dll
C:\Windows\SysWow64\vmpiv6f.dll
C:\Windows\SysWow64\vkgoiua.dll
C:\Windows\SysWow64\vg103qi.dll
C:\Windows\SysWow64\ul6phxz.dll
C:\Windows\SysWow64\ufbe93z.dll
C:\Windows\SysWow64\t8qwub6.dll
C:\Windows\SysWow64\t7d8vmb.dll
C:\Windows\SysWow64\s1fzm4e.dll
C:\Windows\SysWow64\r6g33te.dll
C:\Windows\SysWow64\r2a4y49.dll
C:\Windows\SysWow64\r0ep77c.dll
C:\Windows\SysWow64\qf62lz6.dll
C:\Windows\SysWow64\pcrh8js.dll
C:\Windows\SysWow64\p5j2pna.dll
C:\Windows\SysWow64\ou7kk0p.dll
C:\Windows\SysWow64\okusfw9.dll
C:\Windows\SysWow64\odx6rnd.dll
C:\Windows\SysWow64\nz40wvh.dll
C:\Windows\SysWow64\nl0irjj.dll
C:\Windows\SysWow64\nh5guei.dll
C:\Windows\SysWow64\ndngemw.dll
C:\Windows\SysWow64\mrok6d9.dll
C:\Windows\SysWow64\mfg3d0i.dll
C:\Windows\SysWow64\m7iobxa.dll
C:\Windows\SysWow64\lz4d44s.dll
C:\Windows\SysWow64\lyrfxa6.dll
C:\Windows\SysWow64\luhrfu4.dll
C:\Windows\SysWow64\lnbedk7.dll
C:\Windows\SysWow64\ljp1ed9.dll
C:\Windows\SysWow64\lcdsdev.dll
C:\Windows\SysWow64\l9b1ltt.dll
C:\Windows\SysWow64\l96cz7b.dll
C:\Windows\SysWow64\ka28x1y.dll
C:\Windows\SysWow64\k1rmh7v.dll
C:\Windows\SysWow64\jycbrhr.dll
C:\Windows\SysWow64\jirwjac.dll
C:\Windows\SysWow64\jcevg23.dll
C:\Windows\SysWow64\j0nmgox.dll
C:\Windows\SysWow64\itbqmsd.dll
C:\Windows\SysWow64\ih3uca0.dll
C:\Windows\SysWow64\ify9vek.dll
C:\Windows\SysWow64\ibkr89q.dll
C:\Windows\SysWow64\ia62g61.dll
C:\Windows\SysWow64\hxcutpn.dll
C:\Windows\SysWow64\govi7a0.dll
C:\Windows\SysWow64\ghl315g.dll
C:\Windows\SysWow64\geu0jc7.dll
C:\Windows\SysWow64\fubdohz.dll
C:\Windows\SysWow64\fjrdf2r.dll
C:\Windows\SysWow64\f20oqgu.dll
C:\Windows\SysWow64\ehokls5.dll
C:\Windows\SysWow64\eakrk5c.dll
C:\Windows\SysWow64\eahtoxv.dll
C:\Windows\SysWow64\e51luyv.dll
C:\Windows\SysWow64\d5dojhu.dll
C:\Windows\SysWow64\cgw4ia5.dll
C:\Windows\SysWow64\cgfmsav.dll
C:\Windows\SysWow64\ce584e0.dll
C:\Windows\SysWow64\c0xwz5k.dll
C:\Windows\SysWow64\bzimgcx.dll
C:\Windows\SysWow64\bib9rl9.dll
C:\Windows\SysWow64\bdxr0aq.dll
C:\Windows\SysWow64\b5njgpk.dll
C:\Windows\SysWow64\ayyg2pi.dll
C:\Windows\SysWow64\am3hya8.dll
C:\Windows\SysWow64\aleaxh7.dll
C:\Windows\SysWow64\a25tylx.dll
C:\Windows\SysWow64\a13qwjc.dll
C:\Windows\SysWow64\serauth2.dll
C:\Windows\SysWow64\serauth1.dll
C:\Windows\SysWow64\nsprs.dll
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), w katalogu D:\_OTL utworzy się log z wynikami usuwania.

2. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz przeskanuj system przez Kaspersky TDSSKiller (jeśli coś wykryje, przyznaj Skip i tylko raport dostarcz, a jeśli nic nie wykryje = raport zbędny). Dołącz log z usuwania OTL z punktu 1 oraz wynik filtrowania SFC z punktu 2.

.

pawelm · 7 Lipca 2012

Witam,

W załączniku przesyłam loga zgodne z otrzymaną instrukcją.

Dodatkowo przesyłam log z combofixa którego odpaliłem jeszcze przed otrzymaniem powyższych instrukcji - co okazało się nie potrzebne i zapewne jak zwykle jeszcze bardziej utrudniłem sprawę. Za co bardzo przepraszam.

Mam nadzieję że to nie przeszkodzi w dalszej tak profesjonalnie udzielonej pomocy.

Jak pisałem wyżej po uruchomieniu combofixa komputer się zrestartował i po ponownym uruchomieniu nic się nie zmieniło.

Następnie po zastosowaniu się do ww. instrukcji odzyskałem możliwość normalnego uruchomienia windowsa.

Po uruchomieniu nastąpiła zmiana tapety pulpitu na zapewne domyślną. okno ostrzeżenia o zablokowanym komputerze jak do tej pory się nie pokazało.

1.Log z z usuwania OTL z punktu 1 w oryginale ma nazwę 07072012_164856.log (nie chcaił mi się załączyć pod tą nazwą) znajduję się w utworzonym katalogu D:\_OTL\MovedFile Wtym katalogu również został utworzony folder (z podkatalogami i plikami) o identycznej nazwie jak nazwa pliku loga 07072012_164856

2.wynik filtrowania w załączniku

3.Wygenerowany log OTL

4. Kaspersky TDSSKiller coś wykrył dałem skipraport w załączniku

Proszę o dalsze instrukcje

Dziękuję bardzo za dotychczasową pomoc

log combo fix.txt

Log z z usuwania OTL.txt

sfc.txt

Kaspersky TDSSKiller Report .txt

picasso · 9 Lipca 2012

Skan SFC i TDSSKiller nic nie widzą, ale ja notuję tu jakiś problem, prawdopodobnie w uprawnieniach.

4. Kaspersky TDSSKiller coś wykrył dałem skip

Nic niezdrowego. To sterownik SPTD od emulatora napędów wirtualnych (DAEMON Tools / Alcohol). Jest z natury zablokowany, stąd też TDSSKiller będzie go notował i asygnował nazwę "LockedFile.Multi.Generic" do tego zjawiska.

I nie dostarczyłeś wszystkich logów, brakuje tego:

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras)

I nie odpowiedziałeś mi na pytanie:

Pytanie: czy masz wlączony tzw. Tryb testowy i widoczny watermark z takim napisem na Pulpicie?

.

pawelm · 9 Lipca 2012

Witam

Dziękuję za odpowiedź.

Tak zapomniałem o logu OTL , już go załączam.

Na pulpicie nie mam żadnego napisu.

Pozdrawiam i czekam na odpowiedź.

OTL.Txt

picasso · 12 Lipca 2012

Hmmm, w kwestii tego:

O20:4bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe ()

To nie jest normalne. Sygnatura się nie wyświetla, ale jednocześnie skan SFC nie widzi problemu. Proponuję testową zamianę pliku głównego jego alter-ego z repozytorium i zobaczymy co się stanie.

1. Zastartuj do WinRE: KLIK. Wybierz Wiersz polecenia. Wdróż komendę:

copy /y C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_384755998a0d6941\userinit.exe C:\Windows\system32\userinit.exe

2. Zaloguj się do Windows i zrób nowy log OTL z opcji Skanuj.

.

Edytowane 15 Sierpnia 2012 przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Ukash - komputer został zablowowany... Proszę o pomoc

Rekomendowane odpowiedzi

pawelm

Odnośnik do komentarza

pawelm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

pawelm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

pawelm

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność