noordinary

Witam,

dziękuję serdecznie za pomoc

pozdrawiam

Skrypt wykonałem, oto log po nim:

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4238899893-4279414314-1482056572-500\Software\Microsoft\Windows\CurrentVersion\Run\\NitfEZXYwtjYCu5 deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\spba\ deleted successfully.
C:\Users\Administrator\AppData\Local\47603a32-4e6a-436e-bd36-8ff2d3012181 moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 04182013_213117

pozdrawiam.

Witam,

Teraz trochę zamieszam - wcześniejsze logi zamieściłem wchodząc przez tryb awaryjny z dostępem do sieci i faktycznie logowany byłem jako inny użytkownik (widoczny był inny nieznany pulpit).

Dzisiaj udało mi się uruchomić komputer i komunikat Ukash - policja jak na razie się nie pojawił. Korzystając z tej okazji wykonałem ponownie logi OTL i GMER. Nie wykonałem instrukcji które podałaś w poscie powyżej - daj znać jeśli są one nadal mimo wszystko niezbędne.

OTL.Txt

Witam,

Dziękuję za odpowiedź. Wykonałem polecenie zgodnie z instrukcją i załączam logi.

OTL.Txt

SystemLook.txt

Witam,

Dziś dostałem komputer od znajomego, któremu znany malware Ukash - policja zablokował komputer. Problem z tym ustrojstwem już wcześniej z Waszą pomocą przerabiałem .

W trybie awaryjnym wykonałem wymagane logi OTL i GMER

Platforma to Windows 7 Professional 32-bit.

pozdrawiam.

OTL.Txt

Extras.Txt

gmer.txt

Witam ponownie

Chciałbym zwrócić się z prośbą o pomoc w określeniu możliwej przyczyny powolnego działania połączenia internetowego, powodowanego przez możliwą infekcję. Problem występuje od 2 dni.

Awarię ze stronę dostawcy internetu mogę z dużą pewnością wykluczyć, korzystam z pakietu 8Mbit/s. Obecnie prędkość nie przekracza jednak 0,9Mbit/s. Zwykle z internetem łączę się przez router Linksys WRT120N. Dzisiaj całkowicie zresetowałem jego ustawienia i ponownie skonfigurowałem, sprawdziłem ustawienia na różnych dostępnych kanałach. Niestety nadal prędkość połączenia była poważnie ograniczona i oscylowała pomiędzy 0,5Mbit/s-1Mbit/s. Szukając dalej przyczyny problemów podłączyłem się bezpośrednio pod kabel. Przez pierwszy okres (przez godzinę) po konfiguracji połączenia, prędkość łącza utrzymywała się na wysokim poziomie zgodnym z pakietem - co odebrałem jako rozwiązanie problemu i diagnozę o uszkodzonym routerze. Niestety po tym okresie prędkość ponownie spadła i utrzymuje się ponownie na niskim poziomie rzędu 1Mbit/s. Na łącze nie nałożone jest żadne ograniczenie w związku z przekroczeniem transferu danych. Z dostawcą internetu przeprowadzałem próbę z wysyłką pakietu danych po wyłączeniu firewalla na routerze (przed przełączeniem na połączenie kablowe z komputerem), która nie wykazała żadnych problemów z dostępną prędkością na łączu.

Przypuszczam więc, że przyczyna może leżeć po stronie infekcji na komputerze. Około 3 dni temu odinstalowałem antywirusa ESET w związku z zakończeniem okresu triala. Dziękuję za pomocne sugestie dot. przyczyny problemów (w tle nie działają żadne aktualizacje programów i systemu, ilość działających programów została ograniczona do minimum).

Korzystam z Windows 7 Professional 64-bit (problem sklasyfikowałem od razu do pomocy doraźnej, nie zaś do działu Win7).

Ostatnio instalowane aktualizacje:

Definition Update for Windows Defender - KB915597 (Definition 1.145.509.0)

Data instalacji: 2013-02-26 11:11

Stan instalacji: Powodzenie

Typ aktualizacji: Ważna

Pomoc i obsługa techniczna:

http://go.microsoft....k/?LinkId=52661

Aktualizacja platformy dla systemu Windows 7 x64 Edition (KB2670838)

Data instalacji: 2013-02-27 12:21

Stan instalacji: Powodzenie

Typ aktualizacji: Zalecana

Więcej informacji:

http://support.micro....com/kb/2670838

Dodane:

Porządkowo przeprowadziłem jeszcze pełne skanowanie Malwarebytes - usunięte zostało 5 plików, głównie stare crack'i, załączam dodatkowo log przed kwarantanną.

Extras.Txt

OTL.Txt

GMER.txt

MBAM-log-2013-03-01 (03-15-23).txt

Dziękuję, odinstalowanie i oczyszczanie zakończyło się powodzeniem.

Przeprowadziłem czysty rozruch. Ze stopniowego załączania kolejnych programów, w zakładce Uruchamianie z MSCONFIG.EXE został tylko jeden program - Regedit32, który nie był widoczny jednocześnie w programie Autoruns. Obecnie nie wyskakuje już żadne okno.

Dziękuję jeszcze raz za udzieloną pomoc. Mam nadzieję że chociaż w najbliższym czasie nie będzie ona już potrzebna , a jeśli stanie się konieczna to cieszę się że będę wiedział do kogo mogę się o tą pomoc zwrócić W podziękowaniu przesyłam małą wpłatę, mając nadzieje że forum dalej będzie się rozwijać. Pozdrawiam.

Dziękuję, plik Preferences przyjęty, bez błędów po uruchomieniu Google Chrome.

Załączam nowy log z OTL.

Wyłączyłem wspomniane zdarzenia z Autoruns, jednak nie przyniosło to w skutkach nie uruchamiania się okna Edycji Rejestru przy włączaniu się komputera. Dodatkowo wyłączyłem kilka innych zdarzeń jak ShowBatteryBar, czy narzędzia OfficeSyncProcess (załącznik autorun2.jpg). Również to nie pomogło. Ale ustalmy że to nie będzie mi przeszkadzało jeśli już komputer jest oczyszczony. Przejrzałem z ciekawości pozostałe zakładki z programu Autoruns i w Drivers fragment przykuł moją uwagę (jest tam pozostałość po ComboFix'ie) - w załączniku autorun.jpg. Czy może należy ją wyłączyć?

Jeśli nie masz może jeszcze jakiś uwag, to proszę o informacje czy można finalizować temat i wykonać mam kroki czyszczące (http://www.fixitpc.p...lizujace-temat/).

OTL.Txt

Dziękuję za odpowiedź.

Link do pliku Preferences: http://www.sendspace.pl/file/a19e8eee064bb7bdf56d233

Chciałbym zapytać się jeszcze czy można coś poradzić na otwierające się każdorazowo przy uruchamianiu komputera okno z Edycją rejestru (screen w pierwszym poście). Dzięki pozdrawiam,

Dziękuję za odpowiedź. Przepraszam za niezałączony raport z ComboFixa.

Obecnie załączam logi o których wspomniałaś w wiadomości: log ComboFix, log z AdwCleaner, log z OTL po czynnościach, oraz log z Farbar Service Scanner. Utworzony został równiez po wykonaniu skryptu w OTL, plik - raport - który również załączam (domyślnie jest to plik z rozszerzeniem *.log, który zapisałem jednak jako *.txt: 12052012_155819.txt) - przepraszam jeśli jest zbędny.

Również wg zaleceń usunąłem jednego antywirusa: a więc Ad-Aware, oraz pozostałości po AVG i dodatki BitTorrent.

Dodam jeszcze tylko ostatnie zgłoszenie z Dziennika ESET'a NOD32, które wystąpiły:

2012-12-05 15:58:27 Ochrona systemu plików w czasie rzeczywistym plik C:\_OTL\MovedFiles\12052012_155819\C_Users\Maciek\AppData\Roaming\DCdJOya.exe Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Users\Maciek\Desktop\PLIKI\instalki\SECUNIA\OTL.exe.

2012-12-05 13:00:14 Skaner przy uruchamianiu plik C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif Win32/TrojanDownloader.Wauchos.A koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie

2012-12-04 10:25:26 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\Maciek\AppData\Local\Temp\JSDiIM8_.exe.part odmiana zagrożenia Win32/DobreProgramy potencjalnie niepożądana aplikacja wyleczony przez usunięcie - poddany kwarantannie Maciek-Netbook\Maciek Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

Proszę o analizę i ocenę plików.

ComboFix.txt

OTL.Txt

AdwCleanerS1.txt

FSS.txt

12052012_155819.txt

Witam serdecznie,

W dniu wczorajszym zaatakował mnie ransomware, blokujący komputer przy próbie łączenia się z sięcią i wyświetlający komunikat Polska Polcja Cyberprzestępczość Departament z koniecznością zapłaty 300zł (screen wyświetlanej u mnie wersji komunikatu jest widoczny jako pierwsza grafika pod adresem - http://sposob-na-kom...e/wirus-weelsof).

Zanim trafiłem na to forum, skorzystałem z porady na podanej stronie i skorzystałem z ComboFixa - w trakcie jego pracy dopiero trafiłem na to forum. Jego pracy nie przerwałem, a program skończył swoje działanie. Następnie system przeskanowałem zainstalowanym na nowo ESET NOD32, który usunął 40 zainfekowanych plików. W efekcie sam komunikat zniknął, system pracuje sprawnie, łączenie z sieciami działa również prawidłowo.

Jednak problem, już po działaniu combofixa jest tego typo co przestawiony tutaj: (http://www.fixitpc.p...-dopadl-i-mnie/). Mianowicie, przy uruchomieniu systemu, wydaje się jakby próbowało się załadować jakiś program (przez chwilę pojawia się małe okno konsoli), po czym wyskakuje komunikat z błędem (załącznik blad.jpg), a nastepnie pojawia się okno rejestru (załącznik rejestr.jpg). Sprawia to wrażenie jakby problem z ransomware nie do końca się rozwiązał i istniały jeszcze jakieś po nim pozostałości.

System Windows 7 professional SP1 64 bit

Bardzo bym prosił o udzielenie pomocy/

_________________________________________________

Z dodatkowych informacji - o zmianie softu po działaniu ComboFixa (choć myślę że jest to widoczne w przesłanych logach (?)): wgrywany został ESET, Ad-aware oraz aktualizowana była JAVA i Adobe FlashPlayer - po raporcie SECUNIA). Dodatkowo załączam log z SecurityCheck:

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

ESET NOD32 Antivirus 5.2

Lavasoft Ad-Aware

Antivirus up to date! (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

Ad-Aware

Malwarebytes Anti-Malware wersja 1.65.1.1000

JavaFX 2.1.1

Java 7 Update 9

Adobe Flash Player 11.5.502.110

Adobe Reader 10.1.4 Adobe Reader out of Date!

Mozilla Firefox (17.0)

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

Google Chrome 22.0.1229.79

Google Chrome 22.0.1229.92

Google Chrome 22.0.1229.94

Google Chrome 23.0.1271.64

Google Chrome 23.0.1271.91

Google Chrome 23.0.1271.95

````````Process Check: objlist.exe by Laurent````````

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

Malwarebytes Anti-Malware mbamservice.exe

Malwarebytes Anti-Malware mbamgui.exe

Ad-Aware Antivirus AdAwareService.exe

Ad-Aware Antivirus SBAMSvc.exe

Malwarebytes' Anti-Malware mbamscheduler.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt