Ukash. POMOCY

[pasiasty]

Witam mam problem z tą blokadą(wirusem) na win 7

Bardzo prośiłbym o pomoc

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [ghzqkmnbbmlaplo] C:\ProgramData\ghzqkmnb.exe ()
O4 - HKCU..\Run: [ghzqkmnbbmlaplo] C:\ProgramData\ghzqkmnb.exe () 
[2012-07-13 12:10:47 | 000,000,000 | ---D | C] -- C:\ProgramData\futusdvjbhezwhn
[2012-07-13 12:10:48 | 000,000,051 | ---- | M] () -- C:\ProgramData\iqpplitotunevir
[2012-07-13 12:10:44 | 000,049,152 | ---- | M] () -- C:\Users\Michal\0.3749254982213125.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[pasiasty]

Nie mogłem dołączyć tego log'u z usuwani więc wklejam

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ghzqkmnbbmlaplo deleted successfully.

C:\ProgramData\ghzqkmnb.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ghzqkmnbbmlaplo deleted successfully.

File C:\ProgramData\ghzqkmnb.exe not found.

C:\ProgramData\futusdvjbhezwhn folder moved successfully.

C:\ProgramData\iqpplitotunevir moved successfully.

C:\Users\Michal\0.3749254982213125.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Michal

->Temp folder emptied: 1306420094 bytes

->Temporary Internet Files folder emptied: 54319946 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 284594977 bytes

->Opera cache emptied: 36882 bytes

->Flash cache emptied: 1838 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 1610800 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1123394208 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36028571 bytes

RecycleBin emptied: 1192960 bytes

 

Total Files Cleaned = 2 678,00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 07132012_134737

Files\Folders moved on Reboot...

C:\Users\Michal\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KK9J7EIK\38-dzial-pomocy-doraznej[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K5YQDLAM\fastbutton[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\10172-ukash-pomocy[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\9696-komputer-zostal-zablokowany-przez-naruszenie-system-sie-nie-uruchamia[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[2].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\7-dezynfekcja-narzedzie-combofix[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\9792-twoj-komputer-zostal-zablokowany-problem-z-wirusem-weelsof[1].htm moved successfully.

C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\fastbutton[1].htm moved successfully.

PendingFileRenameOperations files...

File C:\Users\Michal\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KK9J7EIK\38-dzial-pomocy-doraznej[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K5YQDLAM\fastbutton[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\10172-ukash-pomocy[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\9696-komputer-zostal-zablokowany-przez-naruszenie-system-sie-nie-uruchamia[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[2].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\7-dezynfekcja-narzedzie-combofix[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\9792-twoj-komputer-zostal-zablokowany-problem-z-wirusem-weelsof[1].htm not found!

File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\fastbutton[1].htm not found!

Registry entries deleted on Reboot...

 

 

 

 

 

Jeszcze jedno, po ponowym uruchomieniu systemu wyskoczyły mi na pulpicie 3 pliki, dwa są takie same o nazwie deskop.ini a trzeci to takie coś .~lock.chemia.odt# Mam się tym martwić ?

OTL.Txt

[picasso]

Nie mogłem dołączyć tego log'u

 

Kłaniają się zasady działu i Pomoc forum (link na spodzie forum), które objaśniają, że załączniki akceptują tylko format *.TXT, a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku.

 

 

Jeszcze jedno, po ponowym uruchomieniu systemu wyskoczyły mi na pulpicie 3 pliki, dwa są takie same o nazwie deskop.ini a trzeci to takie coś .~lock.chemia.odt# Mam się tym martwić ?

 

One nie wyskoczyły, one były tam od zawsze, tylko ich nie widziałeś. Skan OTL przełącza widzialność plików systemowych, co jest równaważne z operacjami w Opcje folderów > Widok: odznaczenie opcji Ukryj chronione pliki systemu operacyjnego + zaznaczenie Pokaż ukryte pliki i foldery. Jak widać opcje widoku są dwie, błoga większość użytkowników myśli, że jest tylko opcja numer 2, a to ta pogrubiona właśnie ukrywa pliki o których mówisz. Owe pliki desktop.ini to specjalne pliki generujące polonizowaną nazwę "Pulpit" zamiast "Desktop" i ikonkę folderu, nie wolno ich skasować. Cytuję:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

A ten trzeci plik to wygląda na dokument tymczasowy Offfice i można go chyba usunąć.

 

 

 

---

Skrypt pomyślnie przetworzony. Przejdź do tej porcji czynności:

 

1. W OTL uruchom Sprzątanie, które skasuje kwarantannę OTL i OTL.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Aktualizacje / weryfikacja wersji do wykonania: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

 

.

[pasiasty]

Wielkie dzięki za pomoc, żadnych problemów już nie ma. Postaram się wspomóc forum jak mogę. Jeszcze raz dziękuje.

Pozdrawiam.