Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Ukash - zablokowany komputer


  • Zamknięty Temat jest zamknięty
12 odpowiedzi w tym temacie

#1
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Witam, zwracam się z ogromną prośbą o pomoc.
Dzisiaj wieczorem, podczas przeglądania stron internetowych komputer został zablokowany komunikatem ukash.

Poniżej załączam logi OTL
Z góry dziękuję za pomoc.

Załączone pliki

  • Załączony plik  Extras.Txt   93.04 KB   59 Ilość pobrań
  • Załączony plik  OTL.Txt   123.79 KB   43 Ilość pobrań


#2
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów
Tu chyba było coś robione. Od infekcji jest tylko poboczny folder hellomoto, brak widzialnego glównego wejścia startowego. Czy przypadkiem, bo widzę świeżo utworzony na dysku, nie podejmowano działań w CCleaner w obszarze startowym?

Skan potwierdzający. Uruchom SystemLook x64, w oknie wklej:

:dir
C:\Users\Ewa\AppData\Local\Microsoft\Windows /s


Klik w Look i przedstaw raport.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Dziękuję za odpowiedź. Nie dam głowy, czy nie było coś robione, bo nie jestem jedynym użytkownikiem. Możliwe, że ktoś czegoś próbował.
W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB).
Co w tym przypadku?

#4
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów

W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB).
Co w tym przypadku?


Z raportu wytnij tylko te katalogi do oceny, które mają jako nazwę numery.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Nie wiem, czy dobrze zrozumiałam, czy o to chodzi?
Przepraszam za te pytania, ale nie za bardzo znam sie na rzeczy...

Załączone pliki



#6
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów
A jednak, jest nadal na dysku folder główny tej infekcji, choć już ogołocony:

C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983	d------	[18:23 22/07/2012]
6459f8bf --a---- 20052 bytes [18:23 22/07/2012] [18:23 22/07/2012]



1. Przez Panel sterowania odinstaluj adware Sonarca Sound Recorder Free DB Toolbar Toolbar, SweetIM, Wisdom-soft Toolbar. Od razu także sugeruję deinstalację: wątpliwego Uniblue RegistryBooster oraz problematycznego a zbędnego ASUS WebStorage (na forum dużo tematów z błędami explorer.exe z winy tego oprogramowania).

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983
C:\Users\Ewa\AppData\Roaming\hellomoto

:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861"
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/accmeware/{E6AB23E2-1E92-4D8B-9F69-EF33E84F9ABB}?q={searchTerms}"

:Reg
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3.



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#7
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Witam,
Wykonałam wszystkie punkty i załączam pliki:

Załączone pliki



#8
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów
O ile skrypt wykonany, AdwCleaner czyścił co należy, to jednak w logu z OTL widzę nadal w pełnej krasie Wisdom-soft toolbar. Czy był jakiś problem z jego deinstalacją?


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#9
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
tak, był problem.
Mimo, że pojawiał się komunikat, ze deinstalacja się powiodła, to i tak program został w liście programów.
Próbowałam kilka raze, restart również nie pomógł.

#10
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów
To doczyścimy go ręcznie.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.)
O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wisdom-soft Toolbar]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



Klik w Wykonaj skrypt. Tym razem bez restartu.

2. Do oceny wystarczy mi tylko log z usuwania OTL + potwierdzenie słowne, że wejście zniknęło z listy zainstalowanych.


.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#11
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Załączam log z czyszczenia.
Wisdom soft toolbar zniknął z listy programów.

Załączone pliki



#12
picasso

picasso

    Administrator

  • Administratorzy
  • 28738 postów
Zrobione. Możemy kończyć:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

2. Korekta sytuacji z zabezpieczeniami: są tu aż dwa obiekty Avira Free Antivirus + Trend Micro Titanium Internet Security. Jeden z antywirusów musi zostać usunięty.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak SP1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Opera)
"Opera 12.00.1467" = Opera 12.00


Adobe, Java i Silverlight odinstaluj, po tym zamontuj najnowsze wersje.


PS. Gadu-Gadu 10 też polecam zamienić lżejszym programem z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.


.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#13
ibisek1

ibisek1

    Użytkownik

  • Użytkownicy
  • Pip
  • 7 postów
Przepraszam za nieobecność, nie miałam dostępu do sieci. Dzisiaj po pracy zajmę się tymi ostatnimi krokami.
Serdecznie dziękuję za pomoc.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych