Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ukash-zablokował kompa :(

Mesjash

Przez Mesjash
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Mesjash

Mesjash

Opublikowano
Opublikowano

Na początku serdecznie witam wszystkich użytkowników.

Muszę dodać, że jestem kompletnie zielony od strony technicznej :(

Dzisiaj zaatakował mnie (a raczej mój komputer) wirus o nazwie ukash.

Zauważyłem, że każdy kto pisze na forum prosząc o pomoc zamieszcza log a ja nie mam pojęcia jak to zrobić więc jestem jeszcze bardziej zielony niż reszta potrzebujących pomocy...

Bardzo proszę o pomoc bo uniemożliwia mi to pracę i dziękuję za możliwie najprostsze wytłumaczenie tematu. Dzięki

 

p.s. znalazłem tutotrial jak korzystać z programu OTL i zamieszczam to co się wygenerowało, ale nie wiem czy o to chodzi

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Zauważyłem, że każdy kto pisze na forum prosząc o pomoc zamieszcza log a ja nie mam pojęcia jak to zrobić więc jestem jeszcze bardziej zielony niż reszta potrzebujących pomocy... (...)

p.s. znalazłem tutotrial jak korzystać z programu OTL i zamieszczam to co się wygenerowało, ale nie wiem czy o to chodzi

 

Wszystko wyjaśniają zasady działu: KLIK.

 

 

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
O4:64bit: - HKLM..\Run: [WSManMigrationPlugin] C:\Users\Mesjash\AppData\Local\Microsoft\Windows\2711\WSManMigrationPlugin.exe ()
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [AdobeBridge]  File not found
 
:Files
C:\Users\Mesjash\AppData\Local\Microsoft\Windows\2711
C:\Users\Mesjash\AppData\Roaming\hellomoto
C:\Users\Mesjash\AppData\Local\Temp*.jpg
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). Na dysku powstanie katalog C:\_OTL z logiem z wynikami usuwania.

 

2. Jest tu problem z uszkodzonymi Zmiennymi środowiskowymi. Wpisy np. kierujące do powłoki explorer.exe są oznaczone jako "not found" (co nie może być prawdą, w przeciwnym wypadku nie widziałbyś Pulpitu). Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

 

Jeśli jest, ale ma inny ciąg, zedytuj. Jeśli w ogóle jej nie ma, opcją Nowa... utwórz.

 

3. Należy odinstalować adware. Przejdź do Panelu sterowania i usuń Ask Toolbar, BrotherSoft Extreme Toolbar, Conduit Engine, free-downloads.net Toolbar.

 

4. Uruchom AdwCleaner i wybierz w nim opcję Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

.

Odnośnik do komentarza
Mesjash

Mesjash

Opublikowano
  • Autor
Opublikowano

Przede wszystkim bardzo dziękuję za pomoc bo już wszystko działa. Zgodnie z zaleceniami wysyłam logi, ale niestety próbując dołączyć log z "usuwania" wyskoczył komunikat, że nie posiadam uprawnień do wysyłania tego pliku. Zauważyłem, że komputer mi strasznie zamula (zwłaszcza przy uruchomieniu startuje nad wyraz długo. Jeśli to możliwe to bardzo proszę o podpowiedź, które aplikacje można usunąć z autostartu aby startował jak najszybciej a co nie jest niezbędne. Pozdrawiam

AdwCleanerS1.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
ale niestety próbując dołączyć log z "usuwania" wyskoczył komunikat, że nie posiadam uprawnień do wysyłania tego pliku

 

Zasady działu i Pomoc forum (link na spodzie forum) objaśniają, iż załączniki akceptują tylko rozszerzenie *.TXT, a tu jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Log ten sobie podarujemy już, widać w nowym skanie OTL pożądane zmiany.

 

 

Co miało zostać usunięte, zostało. Zmienne środowiskowe też skorygowane. Przejdź do:

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found.
O4 - HKCU..\Run: [unified Remote v2] C:\Program Files (x86)\Unified Remote\RemoteServer.exe File not found
 
:Files
C:\Users\Mesjash\AppData\Local\Temp*.png

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych co podnieść / sprawdzić:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 22
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Foxit Reader" = Foxit Reader
"Google Chrome" = Google Chrome

 

 

Zauważyłem, że komputer mi strasznie zamula (zwłaszcza przy uruchomieniu startuje nad wyraz długo. Jeśli to możliwe to bardzo proszę o podpowiedź, które aplikacje można usunąć z autostartu aby startował jak najszybciej a co nie jest niezbędne.

 

1. Pierwszy podejrzany: ESET Smart Security. Udowodnienie tej tezy tylko przez testową deinstalację, gdyż nie jest możliwe wyłączyć ESET kompletnie. To co jest w opcjach to tylko część, nie deaktywuje sterowników rozruchowych. Wyłączenie całości byłoby pracochłonne, lepiej od razu zrobić testową deinstalację. Gdyby się okazało, że to on wpływa negatywnie na system, bez żalu i tak scrackowany (w zainstalowanych widać "TNod User & Password Finder") i nie najnowszy.

 

2. Dodatkowo, w programie Autoruns w karcie Logon możesz wyłączyć obiekty Samsung Kies i usunąć ten wpis startowy ATI (skutek uboczny to okno konsolowe przy starcie):

 

O4 - HKLM..\Run: [AMD AVT] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

 

 

.

Edytowane przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...