Skocz do zawartości

Zablokowany komputer UKASH - Prośba o pomoc


Rekomendowane odpowiedzi

Witam

 

Mam ten sam problem co wszyscy dziś :(

Będę bardzo wdzięczny za pomoc - jestem w rozpaczy bo moja praca magisterska leży. Boję się że utracę dane.

Bardzo bardzo proszę Panią Administratorkę o pomoc .... PLS.

 

Przepraszam ale w tej panice nie doczytałem wszystkich wymgań OTL.

Poniżej wszystkie już mam nadzieję właściwe pliki.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Do uzupełnienia posta / wymiany załączników poprawnymi służy opcja Edytuj. Posty sklejam, nadwyżkę logów obcinam.

 

Logi z OTL:

- przepuszczałeś tu jakiś skrypt. Takich rzeczy nie wolno robić. To skrypty unikatowe dla danego systemu.

- czy to na pewno logi z właściwego konta i nie zmanipulowane msconfig? Ja tu nie widzę w ogóle wpisu startowego tej infekcji. Jest tylko poboczny folder infekcji C:\Users\Daniel\AppData\Roaming\hellomoto.

 

 

.

Odnośnik do komentarza

Włączyłem jedynie Trojan Kilera ale był darmowy ... nie jestem fachowcem od tych rzeczy.

Znalazłem taki opis na jednej ze stron w sieci ze ten progrma pomaga ale po skanie okazało się że jest odpłatyn 150 PLN ,

MOże ja coś źle zrobiłem z OTL ale tak jak było napisane włączyłem opcje które trzeba i zaznaczyłem użyj filtrowania.

Robiłem to w trybie awaryjnym, Odpalałem kompa kilka razy tryb awaryjny włącza się normalnie a tryb normalny po właczeniu pokazuje ekran blokady.

Odnośnik do komentarza

Picasso

Odpaliłem ponownie kompa w trybie normalany i Win 7 włączył mi się "normalnie" czyli bez strony blokady :)

Zrobiłem odrazu skan OTL pliki poniżej.

Bardzo Ci dziękuję za pomoc :) Choć Win już działa to proszę zerknij co mam zrobić żeby nie wróciło to pskudztwo - nie wierzę w cuda i samonaprawy.

 

P.S. Pierwszy raz jestem na Twojej stronie i wielki szacun za to co robisz (pomoc potrzebna czy też nie - Win działa - to wsparcie poszło bo takie inicjatywy trzeba wspierać).

OTL.Txt

Odnośnik do komentarza

Wnioski: infekcja musiała zostać czymś usunięta, bo ja też nie wierzę w cuda i samonaprawy. UKASH nie ma predyspozycji samozanikowych. W związku z tym mogę tu zrobić tylko to co widzę jeszcze do korekty, a są to już rzeczy skali kosmetycznej:

 

1. W Google Chrome są śmieciarskie wtręty:

 

========== Chrome  ==========

 

CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll

CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

W menedżerze rozszerzeń odinstaluj Babylon Chrome OCR. Jest i drugie wystąpienie, czyli wtyczka Babylon, ale usunięcie wtyczki to już inna operacja, czyli bezpośrednia edycja pliku Preferences. Jako wzornik operacji ten post i punkt 3: KLIK. Po tym należy ręcznie usunąć z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb.

 

2. Mini skrypt poprawkowy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-07-06 18:51:36 | 000,000,000 | ---D | C] -- C:\Users\Daniel\AppData\Roaming\hellomoto
[2012-06-10 22:38:38 | 000,000,000 | ---D | C] -- C:\Users\Daniel\AppData\Roaming\OpenCandy
[2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchFxt.xml
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542"
O4 - HKLM..\Run: [incmd]  File not found
O4 - HKCU..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany + otworzy się log z wynikami usuwania. I tylko ten mi przedstaw, tyle wystarczy.

 

 

P.S. Pierwszy raz jestem na Twojej stronie i wielki szacun za to co robisz (pomoc potrzebna czy też nie - Win działa - to wsparcie poszło bo takie inicjatywy trzeba wspierać).

 

Bardzo dziękuję.

 

 

.

Odnośnik do komentarza

Skrypt wykonany.

 

 

albo jestem gapowaty albo nie wiem gdzie znaleźć menager rozszeżeń

 

Musisz otworzyć przeglądarkę Google Chrome i wejść do Opcji lub od razu z paska adresów polecenia chrome://extensions + chrome://plugins. A to się nie zgadza:

 

Nie mam Google Chrome

 

Raporty wskazują coś kompletnie przeciwnego. Otóż widzę wpis na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome

 

OTL podaje też pełną konfigurację tej przeglądarki (wyciągnął to z dysku + rejestru):

 

========== Chrome  ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\gcswf32.dll

CHR - plugin: Java Deployment Toolkit 6.0.230.5 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll

CHR - plugin: Java™ Platform SE 6 U23 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll

CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll

CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\4.0.50917.0\npctrl.dll

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\15.0.874.106\pdf.dll

CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll

CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll

CHR - plugin: MSN\u00AE Toolbar (Enabled) = C:\Program Files (x86)\MSN Toolbar\Platform\4.0.0357.1\npwinext.dll

CHR - plugin: Unity Player (Enabled) = C:\Users\Daniel\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...

Temat dołączam do poprzedniego. Niezbyt dawno temu byłeś tu z tym samym ... Przy okazji, nowy OTL potwierdza, że kwestia Google Chrome nie została skorygowana, nadal widać wpis na liście zainstalowanych programów + konfigurację na dysku.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-877702136-2145338818-763332896-1000..\Run: [qgrsbrduigffmby] C:\ProgramData\qgrsbrdu.exe (TechnoTrend AG)
[2012-09-01 15:40:07 | 000,000,000 | ---D | C] -- C:\ProgramData\vtxangpgidwkfjn
[2012-09-01 15:40:07 | 000,078,043 | ---- | M] () -- C:\ProgramData\uzthcdxtuovfosx
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

.

Odnośnik do komentarza
Odinstalowałem Google Chrome, czy terz jest ok ?

 

Log z OTL zrobiony po deinstalacji? Jeśli tak, deinstalacja nie usunęła wszytkiego, bo w logu niezmiennie widoczna konfiguracja Google Chrome. Poprawka pod tym kątem:

 

1. Start > w polu szukania wpisz regedit > sprawdź czy jest poniższy klucz (skasuj):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome

 

Przez SHIFT+DEL skasuj z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome.

 

2. Dla formalności zrób nowy log OTL, ale ogranicz go: opcję Rejestr ustaw na Użyj filtrowania, za to pozostałe na Brak + szukanie plików na Żadne.

 

 

P.S. mam pytanie jak skutecznie się zabezpieczyć przed tego typu problemami użwałem do tej pory darmowego AVG ale może jest coś lepszego / skuteczniejszego

 

W dyskusji na temat tej infekcji przeplatają się różne wątki: KLIK.

 

 

 

.

Odnośnik do komentarza
  • 1 miesiąc temu...

Witam.

 

Z Ukashem miałem już doczynienia dwa razy (bez waszej pomocy nie dałbym wogóle rady) i ten był trzeci, choć udało mi się samemu z tym uporać., dzięki temu co podpatrzyłem na forum. Trochę analizy tego co było co wpisywane było w wykonaniu skryptu i co nieco zakumałem. Choć fachowce nie jestem :) Z resztą to czysta amatorka i fak że miałem trochę czasu.

W każdym razie najważniejsze że zlokalizowałem źródło problemów (przenośny dysk pod USB :( ) na który przechodził u mnie z rąk do rąk.

Ale do sedna. Po "usunięciu" złych wpisów i zrobieniu restartu pozostał mi wyskakujący błąd że brak jest w User/Daniel/ (...)/OCBrowser (...) - niestety nie dało się skopiować tekstu :(

Pls tylko o podpowiedź lub pomoc w naprawie tego problemu wszystko inne już działa normalnie tylko to okienko wyskakuje mi raz na godzinę:( i po włączeniu WIN 7 (klika OK- znika ) i pracuję normalnie. nie wiem czy to kwestianadal UKASHA (odnośnika) czy coś za dużo usunołem :)..

 

W załączeniu świeży OTL, i Extr... oraz log po ostatnim wykonaniu skryput...

 

Dzięki...

 

EDIT: Akurat wyskoczyło :) treść brzmi:

 

Wystąpił problem podczas uruchamiania pliku

c:\USER\DANIEL\AppData\Roaming\OpenCandy\3C5CB547F9884CBA91

DBE7118E89BF56\OCBrowserHelper_1.0.3.85.dll

 

Nie można odnaleźć określonego modułu

Extras.Txt

OTL.Txt

10032012_212321.txt

Odnośnik do komentarza

Ten temat doklejam do poprzedniego, bo jest tu niejako kontynuacja niektórych wątków. W logu OTL nie widać oznak infekcji. Są tylko szczątki adware Babylon w Google Chrome, o czym było już mówione poprzednio:

 

========== Chrome  ==========

 

CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll

CHR - Extension: Babylon Chrome OCR = C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\

 

W poprzednim wątku twierdziłeś, że Google Chrome odinstalowane. Bieżący log nadal pokazuje pełną konfigurację tej przeglądarki. Nie wygląda na to, że wykonałeś zalecenia z mojego poprzedniego posta #13. Czyli wykonaj.

 

 

udało mi się samemu z tym uporać., dzięki temu co podpatrzyłem na forum

 

Tu się niestety posunąłeś za daleko:

 

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-877702136-2145338818-763332896-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:explorer.exe deleted successfully.

File move failed. C:\Windows\SysWOW64\explorer.exe scheduled to be moved on reboot.

C:\Users\Daniel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini moved successfully.

 

- Załączyłeś linię kierującą do 32-bitowego C:\Windows\SysWOW64\explorer.exe, a dyrektywa OTL wyrzuca równocześnie wpis + plik. Tego pliku nie wolno usunąć, jest prawidłowy. Na szczęście skrypt padł na tej komendzie i jej nie wykonał w 100% (plik zablokowany przez uprawnienia).

- Plik C:\Users\Daniel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini również był prawidłowy (tworzy go Windows Media Player), wygrzeb go z katalogu kwarantanny C:\_OTL i wstaw na poprzednie miejsce.

 

 

Wystąpił problem podczas uruchamiania pliku

c:\USER\DANIEL\AppData\Roaming\OpenCandy\3C5CB547F9884CBA91

DBE7118E89BF56\OCBrowserHelper_1.0.3.85.dll

 

Nie można odnaleźć określonego modułu

 

To nie jest związane z UKASH czy innymi trojanami. To błąd od adware OpenCandy, coś próbuje to załadować. Z OTL nie wynika co, bo brak takich danych. Wstępnie uruchom AdwCleaner, klik w opcję Search i podaj log wynikowy.

 

 

 

 

.

Odnośnik do komentarza

1. AdwCleaner widzi wpis OpenCandy w rejestrze i nie tylko to. Uruchom ponownie narzędzie i tym razem wybierz opcję Delete.

 

2. Do wykonania też zaległa czynność:

 

Start > w polu szukania wpisz regedit > sprawdź czy jest poniższy klucz (skasuj):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome

 

Przez SHIFT+DEL skasuj z dysku folder C:\Users\Daniel\AppData\Local\Google\Chrome.

 

 

.

Odnośnik do komentarza

Picasso HELP

 

Po zrobieniu drugi raz delete przez AdwCleaning znowu pojawił się UKASH :(

Wrzucam Logi... Cóż moja chupnicza metdoa nie pomogło na zbyt długo.

 

Dodam tylko że aby wejść i coś zrobić wymuszam wylogowanie z (CTRL+ALT+DEL) , i klikam anuluj jak pojawi się okno o tym że muszę coś tam zamknąć za program. Bo inaczej mam to badziewie też w Trybie Awaryjnym :(

Błąd z OpenCandy jest nadal rzyciłem w Regedit znalezienie OpenCandy ale nie mogłem znaleźć.

Extras.Txt

OTL.Txt

Odnośnik do komentarza

SonGokudj, do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie posta pod postem. Napisałeś trzy posty w serii, sklejam.

 

 

Cóż moja chupnicza metdoa nie pomogło na zbyt długo.

 

Nie, Twoje usuwanie było kompletne. Nastąpiła reinfekcja, prawdopodobnie z tego samego źródła co poprzednio (określony URL odwiedzony).

 

 

Błąd z OpenCandy jest nadal rzyciłem w Regedit znalezienie OpenCandy ale nie mogłem znaleźć.

 

Coś gdzieś musi się odwoływać do tego pliku. Będę robić szukanie.

 

 


Przechodząc do usuwania UKASH (oraz resztek adware BrowserManager):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Daniel\AppData\Roaming\msconfig.dat
C:\Users\Daniel\AppData\Roaming\msconfig.ini
C:\Windows\SysWow64\Extensions
C:\Windows\SysWow64\searchplugins
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I dodaj mi szukanie na OpenCandy. Uruchom SystemLook x64 i w oknie wklej:

 

:regfind

OpenCandy

 

:filefind

*OpenCandy*

 

 

 

.

Odnośnik do komentarza

Zrobiłem wszystko jak w opisie.

Najpierw wykonałem załączony skrypt w OTL.

Powstał Log.

Potem po restarcie zrobiłem SystemLocka z podanym skryptem.

No i oczywiście wykonałem na koniec nowy skan w OTL.

Wszystko w załączeniu.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:07 on 06/10/2012 by Daniel

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "OpenCandy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DC3DF92-C96D-43DD-87FA-6C3ABA7AFAB2}]

"Path"="\OpenCandyHelperRun"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6CED5A77-39EE-4868-9C29-25A524D7D5E5}]

"Path"="\OpenCandyHelper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelper]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRun]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunOnce]

 

========== filefind ==========

 

Searching for "*OpenCandy*"

C:\Windows\System32\Tasks\OpenCandyHelper --a---- 3708 bytes [19:33 27/09/2012] [17:31 03/10/2012] 841DF525C3C89E6D8035217C960CEC0F

C:\Windows\System32\Tasks\OpenCandyHelperRun --a---- 3180 bytes [18:03 30/09/2012] [17:31 03/10/2012] EE9C84CCEE94AD7F66DBE218CDC3228E

C:\_OTL\MovedFiles\10032012_000852\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [19:33 27/09/2012] [21:57 02/10/2012] 02183E298715861B0557D9601D2FA926

C:\_OTL\MovedFiles\10032012_000852\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [18:03 30/09/2012] [21:57 02/10/2012] 8E603154410D7DDBC274F7D1F8F28FED

C:\_OTL\MovedFiles\10032012_180321\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [22:10 02/10/2012] [15:59 03/10/2012] 3515AC71D41A7EA70968B19410501C35

C:\_OTL\MovedFiles\10032012_180321\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [22:10 02/10/2012] [15:59 03/10/2012] 5BAF64126F7020C7D0F29D259A935982

C:\_OTL\MovedFiles\10032012_194030\C_Windows\Tasks\OpenCandyHelper.job --a---- 706 bytes [16:05 03/10/2012] [17:31 03/10/2012] C08B1CCB947242563CD04853D163FC6D

C:\_OTL\MovedFiles\10032012_194030\C_Windows\Tasks\OpenCandyHelperRun.job --a---- 706 bytes [16:05 03/10/2012] [17:31 03/10/2012] AB570A3AD9E79C502EEBBAB1915D8806

 

-= EOF =-

OTL.Txt

10062012_175732.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...