Skocz do zawartości

Komputer został zablokowany. Problem z ukash


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [TSWorkspace] C:\Users\Ent\AppData\Local\Microsoft\Windows\1550\TSWorkspace.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\Ent\AppData\Local\Microsoft\Windows\1550
C:\Users\Ent\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1. I sprawdź co widać w tym katalogu:

 

[2012-06-25 11:14:03 | 000,000,000 | ---D | C] -- C:\Users\Ent\AppData\Local\201280

 

 

 

.

Odnośnik do komentarza

Dziękuje bardzo wszystko działa jak przedtem.

 

Załączam logi o które prosiłeś

http://wklej.org/id/791340/ Log po skasowaniu

http://wklej.org/id/791338/ OTL

http://wklej.org/id/791339/ FSS

 

 

sprawdź co widać w tym katalogu:

 

[2012-06-25 11:14:03 | 000,000,000 | ---D | C] -- C:\Users\Ent\AppData\Local\201280

 

tutaj znajduje się tylko takie coś:

C:\Users\Ent\AppData\Local\201280\eidos\28cccbb\cache\persistent\ z plikiem o nazwie 364355366F8274DC7789952660C34776F4B1D586

C:\Users\Ent\AppData\Local\201280\eidos\28cccbb\cache\temp

 

Jeszcze raz dziękuje za pomoc i mam nadzieje że już nie złapie tego wirusa :)

Odnośnik do komentarza

Gwoli formalności (prosił) = jestem kobietą. Dla ścisłości: to nie jest wirus (brak replikowania w plikach), to trojan gatunku "ransomware". Zadania wykonane. Przejdź do:

 

1. Log z Farbar Service Scanner wykazuje, że podstawowe usługi Windows z układu zabezpieczeń są wyłączone. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam = przy innych rezydentach (tu: Ashampoo) jest zbędny i dla wydajności powinien być wyłączony.

 

2. W Dzienniku zdarzeń nagrany błąd WMI numer 10. Posłuż się naprawiaczem z KB2545227.

 

3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Ręcznie dokasuj AdwCleaner i Farbar.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Na wszelki wypadek skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

6. Podstawowe aktualizacje do wykonania: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wersja dla FF, opcjonalnie używana w Chrome)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish

"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)

 

 

========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 19.0.1084.24

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...