Skocz do zawartości

Wirus Ukash- zablokowany komputer.


Rekomendowane odpowiedzi

Podczas przeglądania stron wyskoczył mi komunikat: Komputer został zablokowany z powodu naruszenia prawa polskiego.

 

Co robić ? Podobno każdy przypadek jest odmienny, dlatego zwracam sie z prośbą o pomoc. Muszę to usunąć, zanim brat zorientuje się, że coś jest nie tak :( To jakiś nowy wirus? Nagle zrobiło sie mnóstwo podobnych tematów.

 

Moje OTL:

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tu jest więcej wpisów infekcji niż tylko ten blokujący system.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-363498195-1808378262-2088833632-1000..\Run: [smiEngine] C:\Users\hapech\AppData\Local\Microsoft\Windows\1380\SmiEngine.exe ()
O4 - HKU\S-1-5-21-363498195-1808378262-2088833632-1000..\Run: [Windows-Audio Driver] C:\Users\hapech\AppData\Local\wscntfy.exe (Microsoft Corporation)
O3 - HKU\S-1-5-21-363498195-1808378262-2088833632-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
IE - HKU\S-1-5-21-363498195-1808378262-2088833632-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-363498195-1808378262-2088833632-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=42913225-7140-11e1-9067-00051c20856d&q={searchTerms}"
IE - HKU\S-1-5-21-363498195-1808378262-2088833632-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=3090b7d200000000000074ea3ace0241"
IE - HKU\S-1-5-21-363498195-1808378262-2088833632-1000\..\SearchScopes\{B6E89A6E-6147-4B70-8BC8-87C670553F19}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=30F13D54-A9D2-4955-996D-C2EF2A52DFD1&apn_sauid=FF52EAA7-606C-4E68-8949-800E613D0C29"
 
:Files
C:\Users\hapech\AppData\Local\Microsoft\Windows\1380
C:\Users\hapech\AppData\Roaming\hellomoto
C:\Users\kape\AppData\Roaming\*.exe
C:\Users\kape\AppData\Roaming\mod
C:\Users\kape\AppData\Roaming\Babylon
C:\Program Files\Mozilla Firefox\extensions\{60538a2e-4e07-e4ee-9eb3-8b0236c8c461}
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
netsh advfirewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6D486528-0BE6-4943-AE6A-B0D09A649A62}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6D486528-0BE6-4943-AE6A-B0D09A649A62}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza

Tak to prawda, ale nie za bardzo potrafiłam usunąć te infekcje samodzielnie. Dostępne programy antywirusowe sobie z tym nie poradziły ( albo raczej moja wiedza... ), a ponieważ komputer uruchamiał się w miarę sprawnie zwątpiłam i zostawiłam tak jak jest.

 

OTL wygenerowało:

 

Tak się jeszcze zastanawiam. Zrobiłam skanowanie za pomocą ESET. Wykrył 11 wirusów. Jako ciekawostka 5 trojanów, 4 z nich to ( powstałe podczas obsługi OTL) :

C:\_OTL\MovedFiles\07132012_102327\C_Users\****\AppData\Local\wscntfy.exe odmiana zagrożenia MSIL/Kryptik.DN koń trojański

C:\_OTL\MovedFiles\07132012_102327\C_Users\****\AppData\Roaming\Gerichtsdokumente.exe odmiana zagrożenia Win32/Injector.OQZ koń trojański

C:\_OTL\MovedFiles\07132012_102327\C_Users\****\AppData\Roaming\lsmass.exe odmiana zagrożenia MSIL/Kryptik.DN koń trojański

C:\_OTL\MovedFiles\07132012_102327\C_Users\****\AppData\Roaming\services.exe Win32/TrojanDownloader.Agent.RFI koń trojański

 

Co się stało? Czy to coś niepokojącego ?

OTL.Txt

Odnośnik do komentarza

kejti, zasady działu: KLIK. Proszę nie pisać posta pod postem, jeśli nikt jeszcze nie odpisał. Do uzupełniania informacji w takiej sytuacji używa się opcji Edytuj. Posty powyżej sklejam. I zabrakło loga z usuwania OTL, ale to sobie już darujemy, bo widać w nowym skanie pożądane zmiany.

 

 

Zrobiłam skanowanie za pomocą ESET. Wykrył 11 wirusów. Jako ciekawostka 5 trojanów, 4 z nich to ( powstałe podczas obsługi OTL) : (...) Co się stało? Czy to coś niepokojącego ?

 

Wynik braku prawidłowej kolejności działań. Skan ESET zrobiony w sytuacji, gdy nie została jeszcze zadana do usunięcia kwarantanna OTL, bo też i ESET ... wykrył kwarantannę OTL. :P Katalog C:\_OTL w ogóle się nie liczy, to są już nieczynne obiekty, już usunięte.

 

 


Do wykonania następujące zadania:

 

1.W OTL uruchom Sprzątanie. I to właśnie działanie jest dedykowane usunięciu kwarantanny OTL oraz samego OTL jako takiego.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Odnośnik do komentarza

Przepraszam za powyższe.

 

 

Właśnie skanuję. Mam nadzieję, że już niczego nie znajdzie. Dziękuję serdecznie za pomoc. Naprawdę jestem ogromnie wdzięczna i podziwiam, dla mnie to czarna magia. Jeszcze raz bardzo bardzo bardzo dziękuję. Piątek 13, ale może przynajmniej 2 połowa dnia będzie przyjemna :P

Odnośnik do komentarza

Wyniki? I na koniec wykonaj:

 

1. Naprawę błędu WMI numer 10 za pomocą narzędzia Fix-it z artykułu: KB2545227.

 

2. Podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja IE) ----> sprawdzić

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja Firefox) ----> już jest najnowsza 11.3.300.265

"SkanerOnline" = Skaner on-line mks_vir ----> odinstaluj, to archaiczny i martwy skaner

Edytowane przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...