Zablokowany komputer, Ukash

[stuntman]

Witam, ostatnio padłem ofiarą znanego już widzę na forum przypadku w którym komputer został zablokowany, standardowo, voucher 500 zł itd. itd..

 

• W trakcie przeglądania internetu wyświetlił się komunikat, że komputer zostaje zablokowany, po restarcie i wybraniu użytkownika od razu pojawia się ekran do wprowadzenia kodu vouchera.

• Użyte programy sprawdzające: OTL, Gmer. Logi w załączniku.

• Jako że już wcześniej przeglądałem to forum, nic wcześniej innego nie robiłem (żadnych ComboFixów, Hijack'ów, nic.)

• System to Windows Vista Home Premium z Service Packiem 1

 

Jako że nie mam zupełnie dostępu przy uruchamianiu normalnie komputera, obydwa logi są z trybu awaryjnego, z tego samego konta użytkownika.

Jeśli brakuje jeszcze jakichś informacji, to powiedzcie jakich, to dorzucę.

 

Z góry dzięki za pomoc!

 

Pozdrawiam,

~~stuntman

Extras.Txt

gmer.txt

OTL.Txt

[picasso]

Jeden z nielicznych tematów, w których wypowiedź jest szersza i udawadnia przeczytanie wytycznych działu.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\h643331.sys -- (h643331)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
FF - prefs.js..browser.startup.homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110928&user_guid=A7FBF809972049B0AFE3456BE4A0A443&machine_id=c437cf59b372cb2fa5b510eff13fcc1b&browser=FF&os=win&os_version=6.0-x86-SP1"
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110928&user_guid=A7FBF809972049B0AFE3456BE4A0A443&machine_id=c437cf59b372cb2fa5b510eff13fcc1b&browser=FF&os=win&os_version=6.0-x86-SP1&q="
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-3870238809-2345765574-931756263-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110928&user_guid=A7FBF809972049B0AFE3456BE4A0A443&machine_id=c437cf59b372cb2fa5b510eff13fcc1b&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-3870238809-2345765574-931756263-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-3870238809-2345765574-931756263-1000..\Run: [cnhhndgtxvopbso] C:\ProgramData\cnhhndgt.exe ()
[2012-07-13 17:53:34 | 000,000,000 | ---D | C] -- C:\ProgramData\xabprqobxqdsion
[2012-07-13 17:53:34 | 000,000,051 | ---- | M] () -- C:\ProgramData\asxkkvmgphmthpv
[2011-09-28 17:06:18 | 000,001,390 | ---- | M] () -- C:\Users\terg\AppData\Roaming\Mozilla\Firefox\Profiles\tmgcf3dw.default\searchplugins\yahoo-zugo.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[stuntman]

Witam,

 

po uruchomieniu skryptu i przeładowaniu komputera system uruchamia się już normalnie. Tak jak było powiedziane, OTL po uruchomieniu wyświetlił log po wykonaniu skryptu (załącznik otl_poskrypcie.txt). W załączniku również log ze skanowania po uruchomieniu systemu już normalnie, bez trybu awaryjnego (OTL_drugieskanowanie).

 

Rozumiem, że jeszcze trzeba wykonać jakieś czynności, tak?

 

 

Offtopic:

Jeden z nielicznych tematów, w których wypowiedź jest szersza i udawadnia przeczytanie wytycznych działu.

Sam wiem jak to jest, byłem moderatorem kiedyś na forum o tematyce GSM i doskonale wiem, że wróżenie z fusów to nic przyjemnego Poza tym, jak się oczekuje pomocy, jaki sens ma utrudnianie pracy komuś, kto nam jej udziela?

OTL_drugieskanowanie.Txt

otl_poskrypcie.txt

[picasso]

Post o treści "Podbijam, bo temat zaginął w odmętach" usuwam. Tym razem jednak kieruję do zasad i ustępu o cierpliwym czekaniu na swoją kolej i jak są traktowane "podbitki". Nic tu nie ginie w odmętach. Lokalizacja tematu na stronie dwa o niczym nie świadczy, to byłoby bardzo dziwne, że prowadzący temat dostaje amnezji. Tematy mniej więcej idą po kolei wg czasu założenia, a Twój temat nie jest najstarszy. Jest również dokładny podział które tematy robię ja, a które drugi moderator.

 

 

Zadanie wykonane. Przejdź do kolejnej porcji czynności:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz odpadki po ComboFix (tak, kiedyś był używany i nie został wtedy precyzyjnie odinstalowany).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Wg wykazu OTL jest krytyczny poziom aktualizacji Windows (brak SP2 + IE9 i łat następujących po nich) i stare wersje zainstalowane:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18975)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage ----> brak pakietu SP
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla FF)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

 

.

[stuntman]

W przypadku MalwareBytes skanowanie pełne, tak? Wszystkie dyski, czy tylko systemowy?

[picasso]

Skanowanie pełne całości, skoro robimy rzeczy dokładnie.

[stuntman]

Malwarebytes nie znalazł zagrożeń, dla pewności dołączam wygenerowany log. Przystąpię teraz do aktualizacji... faktycznie trochę się tego uzbierało. Czy po aktualizacji wszystkiego jest jeszcze coś do zrobienia? Ponowne skanowanie, logi?

[picasso]

Ten log z MBAM nie był potrzebny, skoro jest pusty ... Usuwam załącznik.

 

Czy po aktualizacji wszystkiego jest jeszcze coś do zrobienia?

 

To już koniec zadań.

 

 

.

[stuntman]

Dziękuję bardzo za pomoc w takim razie, wszystko śmiga jak powinno No i przepraszam za ten brak cierpliwości, ale w dzisiejszych czasach bez komputera to jak bez ręki...

 

Pozdrawiam

~~stuntman