Komputer został zablokowany (Ukash) - prośba o pomoc

[mierzyn]

Witam,

 

mój komputer został zablokowany przez złośliwe oprogramowanie, które żąda zapłaty przez Ukash.

 

Do tej pory:

- przeskanowałem komputer AVG i Nortonem, ale nic to nie dało,

- następnie próbowałem wpisać losowy kod z generatora kodów Ukash, co również nie posktkowało,

- użyłem combofixa, który coś tam ponaprawiał, ale problem pozostał (w załączniku log).

 

Bardzo proszę o instrukcję co powinienem zrobić. Zaznaczam, że jestem noobem także proszę mieć to na uwadze.

log.txt

[picasso]

- użyłem combofixa, który coś tam ponaprawiał, ale problem pozostał (w załączniku log).

 

Na temat nienadzorowanego użycia ComboFix: KLIK. Na dodatek kompulsywnego (to nieodpowiedzialne tyle razy go zapuszczać bez celu...):

 

ComboFix-quarantined-files.txt  2012-07-09 09:53
ComboFix2.txt  2012-07-06 20:43
ComboFix3.txt  2012-07-06 11:26
ComboFix4.txt  2011-07-07 08:56
ComboFix5.txt  2012-07-09 09:50

 

Ogólne zasady działu i wytyczne jakie logi są obowiązkowe: KLIK.

 

 

---

W związku z tym, że już użyłeś ComboFix, zastosuję go do wstępnego usunięcia, bo jest po prostu pod ręką.

 

1. Otwórz Notatnik i wklej w nim:

 

Folder::
c:\profile\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813
c:\profile\admin\Dane aplikacji\hellomoto
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSDPrintProxy"=-

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. System powinien zostać odblokowany, toteż podaj obowiązkowe logi OTL + GMER. Dołącz log wygenerowany przez ComboFix w punkcie 1.

 

 

 

 

.

[mierzyn]

Dziękuję za pomoc. System został odblokowany. Załączam brakujące logi. Zostały one wygenerowane już po wykonaniu zalecanej akcji. Log z OTL musiałem wykonać jeszcze raz, bo za pierwszym razem nie zaznaczyłem odpowiedniej opcji i nie wygenerowało mi logów "extras"

log-combofix.txt

OTL1.Txt

Extras.Txt

GMER.txt

[picasso]

1. Jest tu nowy problem, czyli uszkodzone usługi Windows, Automatyczne aktualizacje i Centrum zabezpieczeń:

 

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Auto | Stopped] -- %SYSTEMROOT%\system32\wscsvc.dll -- (wscsvc)

 

Uruchom SystemLook i w oknie wklej:

 

:filefind
wuauserv.dll
wscsvc.dll

 

Klik w Look i przedstaw log z wynikami. Krótki = wklej wprost do posta.

 

2. Wykonaj korektę w antywirusach, bo aktualna postać rzeczy woła o pomstę do nieba. Działają wspólnie AVG i Norton, a to prosta droga w dół ku konfliktom, zawieszeniom a nawet blokadzie systemu. Odinstaluj przez Panel sterowania jeden z nich. Następnie wejdź w Tryb awaryjny i przejedź specjalizowanym usuwaczem. W zależności który AV wybierzesz do usunięcia: Norton Removal Tool lub AVG Remover.

 

3. Również, uruchom Firefox i w menedżerze dodatków odinstaluj rozszerzenie adware uTorrentBar Community Toolbar. Następnie zamknij Firefox, zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

Potem podasz nowe logi, ale jeszcze nie teraz. Na razie wykonaj punkty 1 do 3,

 

 

.

[mierzyn]

Dziękuję za kolejne wskazówki.

 

1. Wklejam log

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:49 on 10/07/2012 by admin

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "wuauserv.dll"

C:\WINXP\system32\wuauserv.dll --a---- 6656 bytes [02:19 02/12/2010] [21:51 14/04/2008] 04550D5EB7EE82C115DB547C01DF09FD

C:\WINXP\system32\dllcache\wuauserv.dll --a--c- 6656 bytes [02:19 02/12/2010] [21:51 14/04/2008] 04550D5EB7EE82C115DB547C01DF09FD

 

Searching for "wscsvc.dll"

No files found.

 

-= EOF =-

 

2. Wczoraj odinstalowałem już Nortona. Teraz użyłem Norton Removal. Osobiście chciałbym zmienić antywirusa z AVG na Avira free, ponieważ słyszałem, iż jest to lepszy program tego typu. Ma to sens czy zostawić AVG ?

 

3. Usunąłem uTorrent Community Toolbar. Załączam log z AdwCleaner.

AdwCleaner.txt

[picasso]

Usługa Centrum zabezpieczeń jest uszkodzona na poziomie pliku, w ogóle nie ma go na dysku, należy to uzupełnić. Natomiast usługa Automatyczne aktualizacje ma plik na dysku, tylko w rejestrze jest w podkluczu Parameters skierowanie na złą ścieżkę (skutek uboczny uruchomienia ComboFix, który resetuje tę wartość zawsze na C:\WINDOWS, a tu jest C:\WINXP).

 

 

1. Przesyłam plik usługi Centrum zabezpieczeń: KLIK. Rozpakuj, wstaw do folderu C:\WINXP\system32.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):"C:\WINXP\system32\wuauserv.dll"
 
:OTL
[2012-03-20 09:57:06 | 000,000,000 | ---D | M] -- C:\Profile\admin\Dane aplikacji\Boyqaw
[2012-03-30 18:28:25 | 000,000,000 | ---D | M] -- C:\Profile\admin\Dane aplikacji\Ubzi
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\Programy\!Wspolne\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Profile\admin\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania.

 

 

.

Edytowane 21 Sierpnia 2012 przez picasso
21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso