Ukash - komputer zablokowany

[przemoko90]

Witam

 

Widzę, że wirus dotknął mnóstwo osób. Niestety i ja miałem pecha. Pomożecie? Od paru dni głowię się co i jak, kombinowałem z Combofixem, nie pomogło, z Malwarebytes Anti-Malware też, coś tam wykrył 10 albo więcej czegoś, usunąłem je. Po restarcie też nic. Juz niewiem co poradzić. Dawno zrobiłbym dla spokoju format, ale płytka jak na złość się gdzieś zgubiła.

Log z OTL 3.2.54.0

Extras.Txt

[picasso]

Korekta: to nie jest wirus, to trojan typu "ransomware". I sam popatrz co mi dostarczyłeś: tylko poboczny log OTL Extras a gdzie główny log OTL? Ponadto, skoro używałeś ComboFix to i należy podać raport co robił (nie uruchamiaj narzędzia ponownie!).

[przemoko90]

Wiem, niepotrzebnie sam zacząłem grzebać. Przepraszam, oto ten raport z OTL.

OTL.Txt

[picasso]

Ale brakuje jeszcze raportu z ComboFix (C:\ComboFix.txt) ...

[przemoko90]

Wybacz, że tak na raty dosyłam.

ComboFix.txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4:64bit: - HKLM..\Run: [WLanConn] C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222\WLanConn.exe ()
 
:Files
C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222
C:\Users\Przemek\AppData\Roaming\hellomoto
C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\vw48r5vh.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

3. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, uTorrentControl2 Toolbar.

- Otwórz Firefox i w Dodatkach odinstaluj: uTorrentControl2 Community Toolbar

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: uTorrentControl2. Wejdź do zarządzania wyszukiwarkami i przestaw domyślną z Conduit na cokolwiek innego (np. Google), po czym usuń Conduit z listy.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1, log z filtrowania SFC z punktu 2 oraz AdwCleaner z punktu 4.

 

 

 

.

[przemoko90]

Dobra, trochę to zajęło. Ale wykonałem wszystkie punkty.

AdwCleanerS1.txt

OTL.Txt

sfc.txt

OTL z usuwania.txt

[picasso]

Wyniki z SFC: sądząc po plikach zdaje się, że tu był jakiś obłudny crack związany z aktywacją systemu, gdyż SFC wykryło jako naruszone bardzo charakterystyczne pliki. Naprawiło, co jest równe zdjęciu działania sztucznych modyfikacji. Infekcja i adware pomyślnie usunięte, przejdź do tej porcji czynności:

 

1. Mini poprawka. Jakoś ominęłam do deinstalacji dziwadło Przyspiesz.pl 1.2.0.0, usuń. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.

 

Klik w Wykonaj skrypt. Tym razem bez resetu. Logów sprawdzać już nie muszę.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Przemek\Desktop\ComboFix.exe /uninstall

 

3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Przeprowadź skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

5. Podstawy aktualizacyjne: KLIK. Z Twojej listy zainstalowanych, widoczny brak aktualizacji Windows (SP1+IE9) oraz wersje:

 

64bit- Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3

 

 

Uwaga poboczna na temat Gadu-Gadu 10. Jest to ciężki program, który głównie zajmuje się konsumpcją zasobów systemowych. Polecam alternatywne lżejsze programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.

[przemoko90]

Widzę, że wszystko pokazuje czarno na białym, najmniejsze próby czegokolwiek.

Tak, był dawno temu wgrywany crack, system jest, że tak powiem inny. Ten brzydki crack pewnie też został usunięty podczas całej operacji usuwania szkodnika. Od teraz Windows próbuje się zaktualizować przy każdym włączeniu. Dałoby się go zaktualizować? A jak nie to po prostu wyłączyć ten komunikat o próbie modyfikacji?

 

Wezmę pod uwagę tą wzmiankę o GG. Pójdzie dotacja. Wielką pomoc otrzymałem. Log z Malwarebytes. Wykrył jeden obiekt.

mbam-log-2012-07-16 (11-05-42).txt

[picasso]

Log z Malwarebytes. Wykrył jeden obiekt.

 

Tu nic szczególnego. MBAM wykrył instaklator, który jest nośnikiem adware. Usunąć plik z dysku i po sprawie.

 

 

Ten brzydki crack pewnie też został usunięty podczas całej operacji usuwania szkodnika.

 

Jak mówię: skanowanie SFC przywracało domyślne wersje plików Windows.

 

 

Od teraz Windows próbuje się zaktualizować przy każdym włączeniu. Dałoby się go zaktualizować? A jak nie to po prostu wyłączyć ten komunikat o próbie modyfikacji?

 

Nie rozumiem tego opisu. Przybliż mi bardziej szczegółowo co się dzieje, co widzisz, jaka treść komunikatów.

 

 

 

.

[przemoko90]

Tak, wiem o jaki aktywator chodzi. Już usunięty. Zdaję sobie sprawę jaki system posiadam, w tej chwili tylko taki mam możliwość mieć. Oryginał zaginał gdzieś w czeluściach przeprowadzki. Dałoby się coś z tym zrobić?

 

Tak wygląda ten komunikat:

[picasso]

Oryginał zaginał gdzieś w czeluściach przeprowadzki. Dałoby się coś z tym zrobić?

 

Ach więc o te komunikaty chodzi. Przykro mi, ale ja nie mogę podawać na forum instrukcji robienia "lewego" Windows "prawym". Te komunikaty są nieusuwalne z poziomu opcji Windows, dopóki Windows nie zostanie prawidłowo zaktywowany lub ... oszukany. Pomijając już to, Windows w takim stanie da się zaktualizować.

 

 

.

[przemoko90]

Tak też myślałem, że będzie odpowiedź odmowna. Ale cóż. Dziękuję za pomoc w naprawie systemu. Teraz jest bardziej używalny. Jak mówiłem, dotacja pójdzie za jakiś czas na konto. Dziękuję raz jeszcze za pomoc.