Skocz do zawartości
tedyk

Komputer zablokowany - ukash

Rekomendowane odpowiedzi

Witam.Wywaliło mi niby strone policyjną mam zapłacic zeby odblokowali kompa (od razu)Biały ekran brak jakiejkolwiek możliwosci działania,chciałem uruchomic kompa w trybie awaryjnym , ale miałem do wyboru opce napraw ,wybrałem ,komp odpalił normalnie ale wolno działa .Przeskanowałem avastem niby nic nie znaleziono ,ALE nie moze przeskanowac wszystkich plików i obawa czy nic nie siedzi i nie stwarza zagrożenia.Poczytałem troszke na forach że potrzebne logi z otl , pobrałem program ma m logi zaraz wkleje i mam WIELKĄ prośbe tłumaczyc jak chłopu na roli co robic (komputery nie moja dziedzina)

logi

prosze o pomoc

OTL.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pomyliłeś się, tu wcale nie został dołączony log Extras, dodałeś dwa razy główny plik OTL (jeden pod zmienioną nazwą na "Extras"). Usuwam wadliwy załącznik.

 

 

chciałem uruchomic kompa w trybie awaryjnym , ale miałem do wyboru opce napraw ,wybrałem ,komp odpalił normalnie ale wolno działa

 

Wolne działanie systemu nie wydaje się powiązane. W raportach brak oznak czynnej infekcji, są jedynie szczątki i adware, a to nie może mieć tak wybitnego wpływu na kondycję. Doczyść:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\sldedqltgynnzuo
C:\Users\win7\AppData\Roaming\msconfig.dat
C:\Users\win7\AppData\Roaming\mozilla\firefox\profiles\0hkrnwil.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Users\win7\AppData\Roaming\mozilla\firefox\profiles\0hkrnwil.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=3012_1&babsrc=KW_ss&mntrId=bc45b8830000000000004061865fadf3&q="
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3AB8AD32-3CF7-4DD6-98CC-0F6BD59FB83C}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120302185058032&tb_oid=02-03-2012&tb_mrud=02-03-2012"
IE - HKCU\..\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}: "URL" = "http://flv.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-113-11-OpOu"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_1&babsrc=SP_ss&mntrId=bc45b8830000000000004061865fadf3"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=328B4E2B-4618-4891-A964-CB09B77B4015&apn_sauid=DCA4B576-14AA-497A-B519-271BC87EB827&"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={3AB8AD32-3CF7-4DD6-98CC-0F6BD59FB83C}"
IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found
IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
IE - HKCU\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj, włącznie z Extras (opcja "Rejestr - skan dodatkowy" musi być ustawiona na "Użyj filtrowania", by powstał ten plik). Dołącz log z usuwania AdwCleaner z punktu 2.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

tedyk, do poprawiania / uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Trzy posty powyżej skleiłam w jeden. Zadania czyszczące pomyślnie wykonane. Przejdź do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

foldery przywracania wyczyszczone

malwerebytes nic nie wykryl

wielkie dzieki, jestem pełen podziwu za szybką pomoc i ogrom twojej wiedzy

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skoro MBAM nic nie wykrył, jego raport zbędny, bo nie ma co oglądać. Usuwam ten załącznik.

 

Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie w systemie widać wersje:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2 (64-bit)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3

"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

+ Service Pack dla Microsoft SQL Server 2008 R2: KB2527041

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

nie mogę ,córka przeglądając wikipedie zawołała ze komputer zablokowany.

drugi raz dzisiaj, pytanie czy moge użyc jeszcze raz tego samego polecenia co za pierwszym razem , czy robic nowe logi?prosze pomocy

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
drugi raz dzisiaj, pytanie czy moge użyc jeszcze raz tego samego polecenia co za pierwszym razem , czy robic nowe logi?

 

Nie, skrypty są niepowtarzalne. Proszę o nowe logi z OTL.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Log Extras mi niepotrzebny (usuwam), bo nic nie uległo zmianie od czasu moich zaleceń (nadal nie zaktualizowane aplikacje). Tu już coś było usuwane wstępnie (czym?), bo w logu są tylko resztki infekcji. Wariant UKASH inny niż poprzednie.

 

1. Przez SHIFT+DEL skasuj z dysku ten folder:

 

C:\Users\win7\AppData\Roaming\hellomoto

 

2. Wyczyść foldery Przywracania systemu.

 

3. Wszystkie zalecenia aktualizacyjne nadal aktualne.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

to był trojan Ransom.FGen,skanowałem system mbam-em wykrył własnie tą infekce dałem usuń i go usuwał , ale po kolejnym odpaleniu niestety tylko w trybie awaryjnym ten folder z 2 plikami był znowu w tym samym miejcu.Zrobiłem przywracanie systemu i moze to spowodowało jego usuniecie i zostały tylko jakies resztki.Ale po przywróceniu systemu czarna tapeta ,system nie oryginalny takie powiadomienie wyskakuje i problem "solve a problem with WinRAR".Prosze doradz czy warto moze postawic nowy system.

A i jescze jedno gdy chciałem aktualizowc niekture programy to własnie znikała tapeta i pojawiało sie powiadomienie o nieoryginalnym windowsie.

Czy konieczne jest zmienienie loginów i haseł do banku ,poczty itp

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Zrobiłem przywracanie systemu i moze to spowodowało jego usuniecie i zostały tylko jakies resztki.Ale po przywróceniu systemu czarna tapeta ,system nie oryginalny takie powiadomienie wyskakuje i problem "solve a problem with WinRAR".Prosze doradz czy warto moze postawic nowy system.

 

Już od pierwszego raportu OTL Extras widać w Dzienniku zdarzeń taki błąd:

 

Error - 2012-10-04 00:52:48 | Computer Name = win7-PC | Source = Winlogon | ID = 4103

Description = Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.

 

Czy ten Windows jest oryginalny i nie crackowany?

 

 

Czy konieczne jest zmienienie loginów i haseł do banku ,poczty itp

 

Przy UKASH nie sądzę, by to było potrzebne.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

windows raczej nie jest oryginalny, gdy wyskoczyło mi powiadomienie ze są nowe aktualizacje i zeby aktualizowac to przy nastepnym uruchomieniu tapeta znikła ,jest czarne tło a wprawym dolnym rogu napis"windows7 build 7601this copy of windows is not genuine" czyli nie jest oryginalny.Natomiast po przywróceniu systemu przy kazdym starcie wyskakuje okno aby pobrac oryginaly widows.A teraz sie upokorzę , czy Windows tak jak pisze w moim przypadku moze byc kopią oryginalnego jest crackowany i wtedy bedzie informacja ze jest nieoryginalny.

Jakiego antywirusa uzywac, własnie przed chwilą przeglądając onet pojawiło sie okienko iznikneło zdązyłem zobaczyc tylko ze Malwarebytes zalokował cos jakis krutki ciąg cyfr który wychodził z awasta.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

tedyk, napisałeś to w taki sposób, że mam trudności z wyłuszczeniem zasadniczego wątku. Chodzi mi o 100% potwierdzenie pochodzenia Windows, czy legalny czy nie. Czyli z jakiej płyty Windows był instalowany, czy wprowadzano legalny oryginalny klucz i czy mieszano coś crackami. Jeśli to piracki Windows 7, te komunikaty są normalne i tu kończy się moja interwencja. Jeśli to Windows oryginalny na autentycznym kluczu, wręcz przeciwnie i należy to zdiagnozować.

 

 

Jakiego antywirusa uzywac, własnie przed chwilą przeglądając onet pojawiło sie okienko iznikneło zdązyłem zobaczyc tylko ze Malwarebytes zalokował cos jakis krutki ciąg cyfr który wychodził z awasta.

 

Dyskusja na temat tej infekcji: KLIK. I może rozważ komercyjną wersję Malwarebytes, rezydent ma mechanizmy blokujące serwery malware oraz system prewencji uruchomieniowej.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

windows był instalowany w sklepie gzdie kupowałem kompa,a windowsa postawili tylko dlatego ze pracował tam znajomy znajomego,a płyty zadnej i klucza nie dostałem ,czyli pirat, kiedy zrobiłem pierwszą aktualizacje recznie ,wczesniej odbywała sie przy wyłanczaniu komputera ,wyskakiwał komunikat ze sie aktualizuje i zeby nic nie robic było wszystko ok, a przy recznej aktualizacji zaczeły sie pojawiac komunikaty ze nieoryginalny, czarna tapeta, i prawy dolny róg napis ze kopia nieoryginalna

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
windows był instalowany w sklepie gzdie kupowałem kompa,a windowsa postawili tylko dlatego ze pracował tam znajomy znajomego,a płyty zadnej i klucza nie dostałem ,czyli pirat

 

Jeżeli jest pewność, że to pirat, to ja nie widzę innego wyjścia niż: zdobyć legalny klucz i zaktywować prawidłowo posiadany Windows lub przeinstalować system przy udziale innego legalnego nośnika.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...