Prawdopodobnie odmiana UKASH, biały ekran po zalogowaniu

[ketras]

Witam,

 

Znów zaatakowało komputer mego wujka, podobno po wejściu na stronę pko wyświetliło mu się zdjęcie komorowskiego po czym alert policji by zapłacić, następnie zrestartował parę razy komputer. Aktualnie po zalogowaniu się do wystepu po 2-3 sekundach od ukazania pulpitu pojawia się na całej stronie białby ekran i nic nie można zrobić poza wylogowaniem, tryb awaryjny nie działa, log z otl dzięki wierszowi polecenia w trybie awaryjnym:

 

http://wklej.org/id/1127675/

 

log jest z otl, pliku extras nie utworzyło mi na pendrive.

Dziękuje z góry za pomoc i pozdrawiam.

 

[picasso]

Log Extras nie powstał, bo opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania".

 

Nowe zasady działu są. Poproszę o raporty z FRST. Uruchom w linii komend polecenie F:\FRST64.exe i ENTER. I to narzędzie będzie użyte do usuwania infekcji (obecna).

 

 

 

.

[ketras]

Log z FRST64

http://wklej.org/id/1127692/

 

Dodatkowo log z Addition

http://wklej.org/id/1127694/

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Winlogon: [shell] explorer.exe,C:\Users\Przemysław\AppData\Roaming\cache.dat [64512 2010-11-21] () 
HKLM\...\Policies\Explorer: [NoActiveDesktop] 1
HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{EEB592C0-7829-49E6-840E-01FB565879A2}.exe
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [x]
S2 SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [x]
C:\Users\Przemysław\AppData\Roaming\cache.dat
C:\Users\Przemysław\AppData\Roaming\cache.ini
C:\Users\Przemysław\Desktop\Adobe-Reader-XI(21590).exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

System powinien zostać odblokowany. Loguj się w Trybie normalnym i:

 

2. Przez Panel sterowania odinstaluj pasek AVG Security Toolbar.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[ketras]

To kliknięciu w "fix" powstał log, w logu wszystko successfully.  System się uruchomił.   Po uruchomieniu FRST64 chciał się zaaktualizować, nie zrobiłem tego i dokonałem skanu, oto log:

 

http://wklej.org/id/1127719/

 

 

A oto log, po zaaktualizowaniu FRST64 i przeskanowaniu:

 

http://wklej.org/id/1127720/

[picasso]

Następnym razem fixlog.txt masz dołączyć, a nie opisywać co w nim było. Zadania wyglądają na wykonane. Prujemy na koniec:

 

1. Napraw błąd WMI numer 10 narzędziem Fix-it: KB2545227.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Aktualizacje, konkretnie usunięcie starszych wersji Adobe i Java na korzyść najnowszych oraz aktualizacje przeglądarek: KLIK. Wg raportu są zainstalowane aktualnie:

 

Internet Explorer Version 9
 

==================== Installed Programs =======================
 

Adobe Flash Player 10 ActiveX (x32 Version: 10.0.12.36) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.94) ----> wtyczka dla Firefox/Opera

Adobe Reader XI - Polish (x32 Version: 11.0.00)

Java 7 Update 6 (64-bit) (Version: 7.0.60)

Mozilla Firefox 15.0.1 (x86 pl) (x32 Version: 15.0.1)

Skype™ 5.10 (x32 Version: 5.10.116)

 

Uwaga: m.in. stara Java jest przyczyną tej infekcji.

 

 

 

.

[ketras]

Dokonałem reszty czyszczenia, dziękuje serdecznie za pomoc. Myślę, że temat do zamknięcia. Pozdrawiam