Ukash mnie odwiedził i nie wiem jak go wyprosić...

[mcw]

Witam,

proszę o pomoc w rozwiązaniu problemu,

na wstępie chciałbym zaznaczyć, iż mój stopień wiedzy informatycznej stoi na niskim poziomie i moge ciężko pojmować niektóre rzeczy.

Otóż wczoraj dostałem wiadomość od policji iż posiadam niedozwolone pliki, odwiedzam brzydkie strony, itd (owa wiadomość wyświetliła mi się w sytuacji gdy chciałem obejrzeć przez neta mecz ze stronki meczyki.pl manchester utd vs totenham) i w związku z tym przysługuje mi mandat 500zl + jakieś punkty karne, teraz chciałbym się odwołać od tej decyzji...

U mnie chyba oprócz wyżej wymienionego problemu do pary występują jakieś inne...

Po wyświetleniu takiego komunikatu, jedyne co mogłem zrobić to "twardy" reset. Po nim wyświetla mi sie zapytanie, że wystąpiły problemu z otwarciem windows i jaką opcje reflektuje wybrać w celu ponownego się do niego dostania. Cokolwiek bym nie wybrał :awaryjny, awaryjny z wierszem, z siecia, z innymi cudami, to efekt jest taki sam -> lecą wszystkie napisy co mi sie tam nie ładuje i przy \windows\system32\drivers\crcdisk.sys jest pauza i koniec ładowania..., jakkolwiek nie będę chciał wejść do systemu, takkolwiek mi się to nie udaje. Bios działa (ale go nie pojmuje)! Z postów już przeczytanych domysłam się iż będzie podejrzenie wirusa sateli(czy jakos tak), co dobrze mi nie wróży.

Z tego względu iż nie moge się dostać do systemu, nie wiem jak uzystać owe logi OTL i inne, tu prosze o szczegółową podpowiedź.

Mój lapek to lenovo y550, vista chyba 32 bity.

Jeżeli zgromadzona tu inteligencja uzna, że jestem zbyt "trudny" do rozwiązania tego problemu. Prosił bym o pomoc w dostaniu się do plików na dysku (między innymi jest tam moja magisterka(ale tylko 1 dzień pisania straciłbym)), które chciałbym zgrać na dysk zewnętrzny. A reszta już pojdzie do formata.

[picasso]

Z tego względu iż nie moge się dostać do systemu, nie wiem jak uzystać owe logi OTL i inne, tu prosze o szczegółową podpowiedź.

 

Zrób log z poziomu środowiska zewnętrznego za pomocą narzędzia FRST.

 

 

Z postów już przeczytanych domysłam się iż będzie podejrzenie wirusa sateli(czy jakos tak), co dobrze mi nie wróży.

 

Na razie brak jakichkolwiek podstaw, by tak twierdzić. Proszę się nie sugerować innymi tematami. Tu są inne okoliczności, czyli twardy reset, co może oznaczać całkiem inną usterkę = uszkodzenie struktury plików.

 

 

.

[mcw]

Niestety nie posiadam dysku instalacyjnego i nie moge wejsc w stan "napraw komputer",

po niekrótkim czasie udało mi sie wejsc w tryb awaryjny z wierszem polecenia, z tego pola coś da sie zrobic?

udało się wejść w otl, za niedługo podrzuce pliki

[picasso]

Niestety nie posiadam dysku instalacyjnego i nie moge wejsc w stan "napraw komputer",

 

Niedokładnie wczytałeś się... Tam jest do pobrania gotowa płyta ze środowiskiem WinRE (patrz w spoiler).

 

 

po niekrótkim czasie udało mi sie wejsc w tryb awaryjny z wierszem polecenia, z tego pola coś da sie zrobic?

 

Uruchom OTL wpisując "pełna ścieżka dostępu do OTL.exe" i ENTER. Oczywiście OTL musi być w jakiś sposób dostępny np. na pendrive.

 

 

 

.

 

[mcw]

Oto pliki:

OTL.Txt

Extras.Txt

[picasso]

W systemie jest także zainstalowana masa śmieci adware ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.selectedEngine: "Search Results"
FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/421"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=421&sr=0&q="
IE - HKLM\..\SearchScopes\{7CC3D1B5-1232-41F3-800E-336EAC8399FD}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-3071425267-886736699-3110733808-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BAV5&o=101720&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=B5&apn_dtid=&apn_uid=C34A6A44-AB91-4202-8AEE-4BB529EAFBEF&apn_sauid=D63628C7-64B0-4E28-AC06-01822FF1552B"
IE - HKU\S-1-5-21-3071425267-886736699-3110733808-1004\..\SearchScopes\{7CC3D1B5-1232-41F3-800E-336EAC8399FD}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-3071425267-886736699-3110733808-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-3071425267-886736699-3110733808-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c21e80bb-f1c6-11e0-8f2c-0026220635ca&q={searchTerms}"
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}] C:\Windows\test.bat File not found
O4 - HKLM..\Run: [VeriFaceManager] C:\Program Files\Lenovo\VeriFace\PManage.exe File not found
O4 - HKU\S-1-5-21-3071425267-886736699-3110733808-1004..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" File not found
O4 - HKU\S-1-5-21-3071425267-886736699-3110733808-1004..\Run: [tpckmgnkqyxrjmg] C:\ProgramData\tpckmgnk.exe ()
 
:Files
C:\ProgramData\mameuhpkqfqkuib
C:\ProgramData\nssbhgnzmwdrhxj
C:\Users\Wolek\ms.exe
C:\Users\Wolek\0.49720738900028805.exe
C:\Users\Wolek\AppData\Roaming\mozilla\firefox\profiles\7cztgank.default\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie i już kolejne operacje prowadzisz z poziomu Trybu normalnego Windows:

 

2. Odinstaluj adware:

- Otwórz Firefox i w Dodatkach odinstaluj Ask Toolbar, Searchqu Toolbar.

- Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, DAEMON Tools Toolbar, SweetIM for Messenger 3.6, SweetIM Toolbar for Internet Explorer 4.2, vShare.tv plugin 1.3, Windows Searchqu Toolbar oraz zbędny Akamai NetSession Interface Service.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[mcw]

kolejne pliki

OTL2.Txt

AdwCleanerS1.txt

[picasso]

Zadania pomyślnie przeprowadzone.

 

1. Mini poprawka na szczątki po deinstalacjach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Wolek\AppData\Local\Akamai\netsession_win.exe" File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[mcw]

dopiero teraz skończyło się skanowanie programem malwarebytes, program znalazl 10 wirusów, które usunąłem.

Załączam log z przed usuniecia plikow

mbam-log-2012-10-01 (17-27-48).txt

[picasso]

1. Wyniki MBAM: wszystkie z sekcji "Wykrytych kluczy rejestru" to trojany i słusznie usunięte, natomiast te z "Wykrytych plików" wyglądają na fałszywy alarm (ale za cracka głowy nie dam).

 

2. Na zakończenie zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg OTL Twoja Vista nie ma zainstalowanego SP2+IE9 i widoczne są wersje:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 27
"{30BE2CB7-A171-48BB-9673-9211834956CC}" = OpenOffice.org 3.1
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"InstallWIX_{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}" = Kaspersky Internet Security 2009
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Basic)
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

+ Service Pack dla Microsoft SQL Server 2005: KB913089.

 

 

PS. Nowe Gadu-Gadu sugeruję wymienić alternatywą. Do wglądu artykuł Darmowe komunikatory i opisy WTW, Kadu, Miranda, AQQ.

 

 

.