"Ten komputer został zablokowany" - problem z Weelsof (Ukash)

[Skryba]

Witam,

 

Wczoraj, nocą, podczas przeglądania stron internetowych, system "zawisł" i automatycznie się zresetował. Jako że była to dość późna pora, nie próbowałem uruchamiać ponownie Windows, po prostu wyłączyłem komputer i poszedłem spać. Lecz dziś rano czekała mnie, niestety, bardzo niemiła niespodzianka w postaci nieznanego mi "ostrzeżenia". Poczytałem trochę i doszedłem do wniosku, że najwyraźniej trafił mi się wirus o nazwie Weelsof (Ukash).

 

Poczyniłem następujące kroki w celu jego usunięcia:

 

1) Znalazłem generator kodów Ukash odblokowujących komputer, niestety, pomimo kilku moich prób, nic ta metoda nie dała

2) Starałem się uruchomić komputer w trybie awaryjnym (tak z jak i bez obsługi sieci oraz z wierszem poleceń), jednakże komputer, po parunastu sekundach od uruchomienia trybu awaryjnego, samoistnie się resetuje

3) Udało mi się zainstalować OTLPE na dysku USB, wejść do systemu i stworzyć logi, które umieszczam w załączniku posta

4) Udało mi się również uruchomić program Security Check i stworzyć log, który zamieszczam poniżej:

 

- - -

Results of screen317's Security Check version 0.99.43

 

Windows XP x86

Out of date service pack!!

Internet Explorer 6 Out of date!

``````````````Antivirus/Firewall Check:``````````````

`````````Anti-malware/Other Utilities Check:`````````

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive X::

````````````````````End of Log``````````````````````

- - -

 

Nie wiem na ile jest to istotne, ale podczas uruchamiania programu Security Check wyskoczył również ten błąd:

 

- - -

AutoIt Error

Line -1:

Error: Variable must be of type "Object".

- - -

 

5) Podczas prób tworzenia raportu w GMER, w trakcie uruchamiania programu (preskan?) występuje następujący błąd:

 

- - -

GMER

X:\minint\system32\config\system: The system cannot find the file specified.

- - -

 

Wartości (preskan):

Thread System [4:144] F703A178

Thread System [4:148] F6F6E096

 

Ten sam błąd występuje gdy zaczynam skanowanie dysku D:\ ("zacina się" na wyniku \Cdfs) - po czym program samoistnie wyłącza się.

 

 

 

Proszę o pomoc - choć dzięki OTLPE jestem oczywiście w stanie przekopiować ważniejsze dane na stary laptop, to stacjonarny PC jest mi potrzebny, wręcz niezbędny, do pracy którą wykonuję.

 

Dodam jeszcze, że nic mi nie wiadomo o tym, by na stacjonarnym PC ktokolwiek uruchamiał program ComboFix. O braku programów tworzących wirtualne dyski - jestem pewien w 100%, iż takowych na nim nie instalowano.

 

Nie wiem jakie informacje mógłbym jeszcze podać aby ułatwić rozwiązanie problemu, ale, oczywiście, dostosuję się do wszystkich poleceń. Bardzo zależy mi na skutecznym rozwiązaniu tego problemu.

 

Byłbym bardzo wdzięczny za okazaną mi pomoc.

 

Pozdrawiam,

Skryba.

Extras.Txt

OTL.Txt

[picasso]

Podczas prób tworzenia raportu w GMER, w trakcie uruchamiania programu (preskan?) występuje następujący błąd:

 

- - -

GMER

X:\minint\system32\config\system: The system cannot find the file specified.

- - -

 

Wartości (preskan):

Thread System [4:144] F703A178

Thread System [4:148] F6F6E096

GMER jest przeznaczony do skanowania z poziomu załadowanego systemu. GMER uruchomiony w środowisku zewnętrznym pokaże głównie właściwości tegoż środowiska, dane zupełnie nieprzydatne.

 

 

O braku programów tworzących wirtualne dyski - jestem pewien w 100%, iż takowych na nim nie instalowano.

W systemie jest sterownik SPTD od emulacji napędów:

 

DRV - [2009/10/30 16:34:08 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- D:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

Dodam jeszcze, że nic mi nie wiadomo o tym, by na stacjonarnym PC ktokolwiek uruchamiał program ComboFix.

Kiedyś był, są historyczne ślady.

 

 

 

---

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:OTL
SRV - File not found [Auto] -- -- (npkcmsvc)
SRV - File not found [On_Demand] -- -- (iPod Service)
DRV - File not found [Kernel | Auto] -- -- (npkcrypt)
DRV - File not found [Kernel | Boot] -- -- (ndisrd)
DRV - File not found [Kernel | On_Demand] -- -- (JakNDisMP)
DRV - File not found [Kernel | On_Demand] -- -- (EagleNT)
DRV - File not found [Kernel | On_Demand] -- -- (catchme)
SRV - [2005/11/14 19:50:46 | 001,693,448 | ---- | M] (Zone Labs, LLC) [On_Demand] -- D:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
DRV - [2005/11/14 19:50:34 | 000,372,816 | ---- | M] (Zone Labs, LLC) [Kernel | System] -- D:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {F991D824-1626-49EA-AD13-BE5BECAABD7B} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [ptpabkfakbxpats] D:\Documents and Settings\All Users\Dane aplikacji\ptpabkfa.exe ()
O9 - Extra Button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - Reg Error: Key error. File not found
O12 - Plugin for: .IE5 - Reg Error: Value error. File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.)
[2012/07/22 18:25:44 | 000,000,000 | ---D | C] -- D:\Documents and Settings\All Users\Dane aplikacji\ogjijbnikwqohpn
[2012/07/22 18:25:56 | 000,000,051 | ---- | M] () -- D:\Documents and Settings\All Users\Dane aplikacji\ryfdcglncnvpgmv
[2005/06/07 09:30:43 | 000,000,000 | ---- | C] () -- D:\WINDOWS\System32\newdial1.exe
[2005/06/07 09:30:32 | 000,000,000 | ---- | C] () -- D:\WINDOWS\System32\newdial.exe
[2005/06/05 16:09:52 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\njoiklno.dat
[2005/06/05 14:23:39 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kflpicfi.dat
[2005/06/05 06:20:49 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\plmcnion.dat
[2005/06/05 05:11:45 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\fgbamfkg.dat
[2005/06/04 15:17:52 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ppjiphnl.dat
[2005/06/04 14:08:35 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\hpgplmef.dat
[2005/06/04 13:00:51 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ldmjkkgi.dat
[2005/06/04 11:17:03 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\alnpeebh.dat
[2005/06/04 10:14:38 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\pghaogjo.dat
[2005/06/04 09:06:02 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\lhipmmhg.dat
[2005/06/04 07:17:37 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kiifnlfk.dat
[2005/06/03 15:06:38 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\giiioghl.dat
[2005/06/03 12:47:36 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\nbjobogn.dat
[2005/06/03 11:27:09 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\mfpfadoj.dat
[2005/06/03 10:17:29 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\hhffqnli.dat
[2005/06/02 10:09:18 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kbmflcli.dat
[2005/06/01 13:29:41 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ljoincpf.dat
[2005/06/01 12:20:18 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\lbdebodi.dat
[2005/06/01 09:25:24 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\hojokbgq.dat
[2005/05/31 10:18:00 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\dbfijanp.dat
[2005/05/31 09:23:28 | 000,000,004 | ---- | C] () -- D:\WINDOWS\System32\cmd.dat
[2005/05/30 12:01:49 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\lddijgfb.dat
[2005/05/30 09:40:52 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ijemdigh.dat
[2005/05/29 12:22:09 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\mlokddch.dat
[2005/05/29 07:46:43 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\enkebiln.dat
[2005/05/29 05:25:41 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\gdgacigo.dat
[2005/05/25 16:22:55 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ijlkpjfb.dat
[2005/05/25 15:08:12 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ioheplpn.dat
[2005/05/25 12:39:32 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bhmkblle.dat
[2005/05/25 11:10:42 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\pchgcghk.dat
[2005/05/25 09:55:57 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ipgjjfee.dat
[2005/05/24 14:01:32 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\jifqnjoo.dat
[2005/05/24 08:44:56 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\hmoddijp.dat
[2005/05/23 16:14:37 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\dhlemilh.dat
[2005/05/23 14:54:49 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\nnncjobg.dat
[2005/05/23 12:49:45 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kgppnfmg.dat
[2005/05/23 11:38:32 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bmagqahd.dat
[2005/05/23 10:20:08 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\egpgabnl.dat
[2005/05/22 16:37:55 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\olgpnoii.dat
[2005/05/22 15:29:08 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bbmbbchn.dat
[2005/05/22 05:11:16 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\pdihlcgl.dat
[2005/05/21 13:44:38 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bplhdqep.dat
[2005/05/21 10:46:58 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bnppeekm.dat
[2005/05/21 09:02:37 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\nhfobckd.dat
[2005/05/21 07:37:39 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\mecaljnm.dat
[2005/05/20 16:18:46 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\nkgigcbb.dat
[2005/05/20 14:25:26 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\miknpbpb.dat
[2005/05/20 11:39:28 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\cmkdccbk.dat
[2005/05/20 10:30:58 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\cgjhhcni.dat
[2005/05/20 08:35:26 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kdigabpd.dat
[2005/05/20 07:20:03 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ccgdljjl.dat
[2005/05/19 15:41:52 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\nicjjgpo.dat
[2005/05/18 13:37:00 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\jmilllnq.dat
[2005/05/18 12:34:35 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\lhgdiegg.dat
[2005/05/18 09:36:15 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\opdloebh.dat
[2005/05/17 16:27:49 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\biibceck.dat
[2005/05/17 13:18:47 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ojfdeiia.dat
[2005/05/15 05:48:45 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\olpkpchl.dat
[2005/05/14 17:04:36 | 000,000,002 | ---- | C] () -- D:\WINDOWS\System32\cmdtm.dat
[2005/05/14 06:36:59 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kcmjfdla.dat
[2005/05/13 16:36:07 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\dcpmbnkm.dat
[2005/05/13 15:33:18 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\pekdkilm.dat
[2005/05/13 14:05:16 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\khhfjkjd.dat
[2005/05/13 12:45:13 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\aqgiaanp.dat
[2005/05/13 11:31:29 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\gkoloonc.dat
[2005/05/13 10:11:41 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\hkeffbgd.dat
[2005/05/13 08:45:56 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kobejpgd.dat
[2005/05/12 16:24:54 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\jgijkmma.dat
[2005/05/12 13:36:45 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kbjmicmk.dat
[2005/05/12 10:22:54 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\lkgfgdea.dat
[2005/05/12 07:47:43 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\ooeiqofb.dat
[2005/05/11 17:08:55 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\kgjofegh.dat
[2005/05/10 12:43:40 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\oapejkmc.dat
[2005/05/10 11:41:02 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\bgnhhipe.dat
[2005/05/10 09:42:19 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\qcfceeco.dat
[2005/05/09 12:50:35 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\pecaphaa.dat
[2005/05/09 11:10:28 | 000,004,212 | -H-- | C] () -- D:\WINDOWS\System32\zllictbl.dat
[2005/05/09 08:16:41 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\jnpobmph.dat
[2005/05/09 06:28:04 | 000,000,139 | ---- | C] () -- D:\WINDOWS\System32\jmjjlikk.dat
[2005/05/08 09:31:00 | 000,753,534 | ---- | C] () -- D:\WINDOWS\System32\datkkq32.dll
[2006/07/09 13:14:16 | 000,030,187 | ---- | M] ()(D:\WINDOWS\‚Q‚cŠi“¬?c?N[?‹‚Q‚Ž‚„.mid) -- D:\WINDOWS\‚Q‚cŠi“¬cN[‹‚Q‚Ž‚„.mid
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. W root dysku powstanie log z usuwania.

 

2. Zaloguj się normalnie do Windows. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

3. Zrób logi OTL z opcji Skanuj + GMER (po usunięciu sterownika SPTD). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Skryba]

Witam ponownie,

 

Dziękuję za poświęcenie uwagi.

 

Słowem wyjaśnienia:

- "GMER jest przeznaczony do skanowania z poziomu załadowanego systemu" - nie wiedziałem, dziękuję za rozjaśnienie sprawy

- "W systemie jest sterownik SPTD od emulacji napędów" - to mnie bardzo zdziwiło, nie potrafię odpowiedzieć skąd się on wziął

- [użycie ComboFix] "Kiedyś był, są historyczne ślady." - poszperałem głębiej, odnalazłem jeden log CFix z 7/24/2008 - przesłać?

 

1) Uruchomiłem OTL, wkleiłem w Custom Scans/Fixes podany skrypt - log z usuwania OTL (07232012_165727.log) przesyłam w załączniku posta. Niestety, przy rozszerzeniu *.log przy próbach przesyłania pliku wyskakiwał mi tutaj: "Błąd! Nie masz uprawnień do wysyłania tego typu plików" - dlatego przemieniłem na *.txt

2) Uruchomiłem pomownie PC, zalogowałem się do systemu jako user (nie administrator), zresetowałem HOSTS za pomocą narzędzia Fix-it

3) Usunąłem plik D:\WINDOWS\system32\drivers\sptd.sys

4) Zrobiłem logi OTL (OTL + Extras) oraz GMER, również znajdują się one w załączniku. GMER nie wykrył żadnych modyfikacji wskazujących na obecność ROOTKIT'a

 

Pozdrawiam i czekam na dalsze instrukcje,

Skryba.

OTL.Txt

Extras.Txt

GMER.txt

07232012_165727.txt

[picasso]

Log z GMER był robiony podczas czynnego SPTD. Prawdopodobnie po usuwaniu sterownika SPTD nie zresetowałeś systemu, w celu pełnego oczyszczenia pamięci i odładowania SPTD z niej. Mówi o tym też OTL, usługa mimo "not found" jest "Running":

 

DRV - File not found [Kernel | Boot | Running] -- System32\Drivers\sptd.sys -- (sptd)

 

Wymagana poprawka na szczątki.

 

1. Wykończ klucz SPTD z rejestru. Uruchom MiniRegTool i w oknie wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\cfg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZJman000&ptb=5QSRbiFPDB4jqGSSqMJGLA&psa=&ind=2010123015&ptnrS=ZJman000&si=&st=sb&n=77d00b07&searchfor={searchTerms}"
IE - HKU\S-1-5-21-484763869-448539723-839522115-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZJman000&ptb=5QSRbiFPDB4jqGSSqMJGLA&psa=&ind=2010123015&ptnrS=ZJman000&si=&st=sb&n=77d00b07&searchfor={searchTerms}"
IE - HKU\S-1-5-21-484763869-448539723-839522115-1003\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O3 - HKU\S-1-5-21-484763869-448539723-839522115-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKU\S-1-5-21-484763869-448539723-839522115-1003..\Run: [ptpabkfakbxpats] D:\Documents and Settings\All Users\Dane aplikacji\ptpabkfa.exe File not found
O8 - Extra context menu item: &Search - "http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000338&p=ZJman000&si=&a=5QSRbiFPDB4jqGSSqMJGLA&n=2010123015" File not found
[2012/07/23 00:25:57 | 000,053,248 | ---- | M] () -- D:\Documents and Settings\Michał\ms.exe
[2012/07/23 00:25:27 | 000,053,248 | ---- | M] () -- D:\Documents and Settings\Michał\0.561409784198423.exe
[2012/07/14 16:08:35 | 000,060,336 | ---- | M] () -- D:\Documents and Settings\Michał\g2mdlhlpx.exe
[2010/01/20 14:25:50 | 000,000,000 | ---- | C] () -- D:\Documents and Settings\Michał\ź=ź=
[2009/07/19 00:33:35 | 000,002,500 | ---- | C] () -- D:\Documents and Settings\Michał\.mactor
[2009/01/29 09:00:41 | 000,000,000 | ---- | C] () -- D:\Documents and Settings\Michał\Y=Y=
[2005/06/14 16:09:48 | 000,000,002 | ---- | C] () -- D:\Documents and Settings\Michał\tmp.req
[2005/06/14 10:50:45 | 000,000,310 | ---- | C] () -- D:\Documents and Settings\Michał\3.dat
[2010/10/01 22:25:23 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Michał\Dane aplikacji\ProgSense
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
"ProxyServer"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]

 

Klik w Wykonaj skrypt.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

[Skryba]

Witam,

 

Faktycznie, nie przyszło mi do głowy by zresetować PC po usunięciu sterownika SPTD.

 

1) Uruchomiłem MiniRegTool, wpisałem i wykonałem skrypt. Pojawił się następujący log:

 

MiniRegTool by Farbar

Ran by Michał (administrator) on 2012-07-24 17:42:11

 

====================================

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\cfg not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Enum deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd deleted successfully.

 

2) Uruchomiłem OTL i wykonałem skrypt. Log zmian, na wypadek gdyby był potrzebny, zachowałem.

 

3) Ponownie przeprowadziłem skan OTL, log przesyłam w załączniku.

 

Pozdrawiam, cierpliwie oczekując na kolejne polecenia,

Skryba.

OTL.txt

[picasso]

Co miało być zrobione, zostało zrobione. Przejdź do tej porcji czynności:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, ręcznie dokasuj pozostałe użytki.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[Skryba]

Witam,

 

1) Sprzątanie wykonane, system zresetowany

 

2) Wyczyściłem foldery Przywracania systemu

 

3) Pełne skanowanie dysków wykryło 19 obiektów - pełen raport przesyłam w załączniku

 

Nie wykonywałem jeszcze żadnych innych akcji (tj. nie usunąłem zaznaczonych obiektów).

 

Pozdrawiam,

Skryba.

mbam-log-2012-07-25 (19-48-00).txt

[picasso]

1. Wszystko co wykrył MBAM to albo adware albo szczątki malware. Usuń co wykrył. Po tym ponów czyszczenie folderów Przywracania systemu.

 

2. Istotne aktualizacje do wykonania: KLIK. Z Twojej listy zainstalowanych o co mi chodzi, krytyczny poziom aktualizacji Windows (brak SP3 i łat następujących po nim) oraz kolekcja przestarzałych aplikacji (to Java jest furtką do infekcji):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0150020}" = J2SE Runtime Environment 5.0 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{92B79901-C57D-409F-8D2F-4E5337383569}" = OpenOffice.org 3.0
"{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE
"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish
"{C8FC7066-4457-4365-9BDF-4E439BF703C8}" = AVG 2011
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF/Opera) ----> już jest najnowsza
"Mozilla Firefox 5.0 (x86 en-US)" = Mozilla Firefox 5.0 (x86 en-US)
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4

 

W pierwszej kolejności aktualizacje Windows od A do Z. Po tym usuń wszystkie wystąpienia Java i Adobe, zaaplikuj najnowsze wersje. Stare SUPERAntiSpyware + Spybot - Search & Destroy wylatują, a AVG do aktualizacji (wg dat sterowników zdaje się być nie najnowsze)

 

 

 

.