Znowu UKASH - komputer zablokowany

[jan24l]

Zablokowany komputer ,poproszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Private\Dane aplikacji\msconfig.dat
C:\Documents and Settings\Private\Dane aplikacji\msconfig.ini
C:\Documents and Settings\Private\Dane aplikacji\Yvxywu
C:\Documents and Settings\Private\Dane aplikacji\Ugcuqo
C:\Documents and Settings\Private\Dane aplikacji\Isciu
C:\WINDOWS\System32\drivers\etc\hosts.*.backup
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\AskToolbar
C:\Documents and Settings\Private\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Program Files\TeaTimer (Spybot - Search & Destroy)
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/fft/fft_1325431974_396721
IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/fft/fft_1325431974_396721
IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.com.br/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A8691855295&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}"
IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKU\S-1-5-21-725345543-1637723038-2147145749-1003..\Run: [Vynuxiy] C:\Documents and Settings\Private\Dane aplikacji\Yvxywu\qaot.exe ()
O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found
O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found
O8 - Extra context menu item: Download with GetRight - E:\Program Files\GetRight\GRdownload.htm File not found
O8 - Extra context menu item: Open with GetRight Browser - E:\Program Files\GetRight\GRbrowse.htm File not found
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - E:\Program Files\FlashGet\jc_all.htm File not found
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} "http://skaner.mks.com.pl/SkanerOnline.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- /R -- (RAMDrivService)
SRV - File not found [Auto | Stopped] -- F:\Comodo\Firewall\cmdagent.exe -- (CmdAgent)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (rkhdrv10)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS -- (PROCEXP151)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motodrv.sys -- (MotDev)
DRV - File not found [Kernel | Boot | Stopped] -- System32\DRIVERS\inspect.sys -- (Inspect)
DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\cmdmon.sys -- (CmdMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Amps2prt.sys -- (Amps2prt)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\adiusbae.sys -- (adiusbae)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\a347scsi.sys -- (a347scsi)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\a347bus.sys -- (a347bus)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie.

 

2. Do danych na dysku jest doklejona olbrzymia liczba strumieni KAVICHS. To jest pozostałość po archaicznym Kasperskym. Usuń wszystkie KAVICHS za pomocą jednego z programów wyliczonych w tym artykule: KLIK.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras + zaznacz opcję Pomiń pliki Microsoftu).

 

 

 

.

[jan24l]

Wykonano oraz następny log

OTL.Txt

[picasso]

Wszystko zrobione.

 

1. Nie zauważyłam jeszcze strasznie starego odpadkowego sterownika Kerio:

 

DRV - [2005-05-30 09:32:20 | 000,053,248 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\khips.sys -- (khips)

 

W Autoruns w karcie Drivers usuń khips. Zresetuj system, po tym możesz skasować z dysku powiązany plik.

 

2. Przez SHIFT+DEL dokasuj te pliki:

 

[2012-09-20 16:03:35 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120820_140335.dmp
[2012-09-16 06:28:04 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120816_042804.dmp
[2012-09-07 19:34:44 | 000,044,672 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120807_173444.dmp
[2012-09-06 22:59:35 | 000,043,612 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120806_205935.dmp
[2012-09-06 19:34:42 | 000,060,304 | ---- | C] () -- C:\Documents and Settings\Private\g2mdlhlpx.exe
[2012-09-06 00:54:08 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120805_225408.dmp
[2012-09-05 05:16:23 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120805_031623.dmp
[2012-09-04 20:37:33 | 000,100,672 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty\cc_20120904_203729.reg
[2012-05-14 21:06:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120414_190614.dmp
[2012-05-12 14:07:23 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120412_120723.dmp
[2012-05-02 05:44:52 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120402_034452.dmp
[2012-03-15 07:40:09 | 000,050,631 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120215_054009.dmp
[2012-02-28 22:59:18 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120128_205918.dmp
[2012-02-27 23:30:41 | 000,044,402 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120127_213041.dmp
[2012-02-26 22:16:23 | 000,040,472 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120126_201623.dmp
[2012-02-26 13:31:12 | 000,051,465 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120126_113112.dmp
[2012-02-04 13:55:32 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120104_115532.dmp
[2012-02-01 12:10:15 | 000,143,954 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120101_101015.dmp
[2012-02-01 12:10:13 | 000,096,378 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120101_101013.dmp
[2012-01-31 20:50:21 | 000,034,238 | ---- | C] () -- C:\Documents and Settings\Private\Moje dokumenty_1120031_185021.dmp
[2008-11-10 17:10:49 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Private\ping

 

3. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a programy do usuwania strumieni też możesz wywalić.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[jan24l]

Komputer czysty, wszystko działa. Dziękuję pięknie i kłaniam się nisko.

[picasso]

Na koniec aktualizacje poniżej wymienionych aplikacji: KLIK. Wg raportu system nie ma SP3 i widać następujące wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

 

.