Skocz do zawartości

Zablokowany komputer - UKASH


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Są tu także ślady innych infekcji oraz adware....

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [wwancfg] C:\Users\Palik\AppData\Local\Microsoft\Windows\3007\wwancfg.exe ()
O4 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000..\Run: [Audio Device] C:\Users\Palik\AppData\Roaming\ahekoha.exe (Company)
O7 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O37 - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found
IE - HKLM\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}"
IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2419}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-334412001-3445786627-2903519504-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyGO2gZCR&i=26"
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb139/?loc=IB_DS&a=6OyGO2gZCR&&i=26&search="
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [unknown (-1) | Stopped] --  -- (mlxuxnk)
SRV - File not found [unknown (-1) | Stopped] --  -- (lmtoylhj)
SRV - File not found [unknown (-1) | Stopped] --  -- (heuawd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\cm112.sys -- (USBADVAU)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] --  -- (mlxuxnk)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] --  -- (lmtoylhj)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] --  -- (heuawd)
 
:Files
C:\Users\Palik\AppData\Local\Microsoft\Windows\3007
C:\Users\Palik\AppData\Roaming\hellomoto
C:\Users\Palik\AppData\Roaming\dclogs
C:\Users\Palik\AppData\Roaming\OpenCandy
C:\Users\Palik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\Users\Palik\Desktop\Live Security Platinum.lnk
C:\ProgramData\F4D55F17000170E5000B6B65570F1C8B
C:\ProgramData\Premium
C:\user.js
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Users\Palik\AppData\Roaming\Mozilla\Firefox\Profiles\6zzpnp0x.default\searchplugins\MyStart Search.xml
C:\Users\Palik\AppData\Roaming\Mozilla\Firefox\Profiles\6zzpnp0x.default\searchplugins\Search_Results.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Otwórz Google Chrome i w wejdź do menedżera wyszukiwarek, aktualnie jako domyślna ustawiony śmieć:

 

========== Chrome  ==========

 

CHR - default_search_provider: MyStart Search (Enabled)

CHR - default_search_provider: search_url = "http://mystart.incredibar.com/mb139/?loc=IB_DS&search={searchTerms}&a=6OyGO2gZCR&i=26"

CHR - default_search_provider: suggest_url =

 

Przestaw domyślną wyszukiwarkę na cokolwiek innego (np. Google), zaś MyStart Search usuń z listy.

 

3. Wykonaj ogólną deinstalację adware:

- Przez Panel sterowania: Incredibar Toolbar on IE, MediaBar, Optimizer Pro v3.0, Web Assistant 2.0.0.439.

- W menedżerze dodatków Firefox: incredibar.com, Searchqu Toolbar, Web Assistant.

- W menedżerze rozszerzeń Google Chrome: Web Assistant.

 

4. Uruchom AdwCleaner i zastosuj Delete. Wynikowoa powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

 

.

Odnośnik do komentarza

Chyba się udało. Wszystko wg instrukcji. W załączniku 3 pliki log.

 

Dodatkowo dowiedziałem się że avast! blokuje OTL na starcie, dzięki czemu nie pojawia się notatnik z wynikami.

 

 

EDIT [13:35]

 

Explorer zaliczył crash:

 

 

Podpis problemu:

Nazwa zdarzenia problemu: APPCRASH

Nazwa aplikacji: Explorer.EXE

Wersja aplikacji: 6.0.6002.18005

Sygnatura czasowa aplikacji: 49e01da5

Nazwa modułu z błędem: TosBtShell.dll_unloaded

Wersja modułu z błędem: 0.0.0.0

Sygnatura czasowa modułu z błędem: 4317fd14

Kod wyjątku: c0000005

Przesunięcie wyjątku: 06f74680

Wersja systemu operacyjnego: 6.0.6002.2.2.0.768.2

Identyfikator ustawień regionalnych: 1045

Dodatkowe informacje 1: fd00

Dodatkowe informacje 2: ea6f5fe8924aaa756324d57f87834160

Dodatkowe informacje 3: fd00

Dodatkowe informacje 4: ea6f5fe8924aaa756324d57f87834160

OTL.Txt

OTL_z-usuwania.txt

AdwCleanerS1.txt

Odnośnik do komentarza

Wszystko zrobione.

 

1. Mini poprawka na szczątki paskowe. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (MediaBar) - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\PROGRA~1\SHAREA~1\MediaBar\ToolBar\ShareazaMediabarDx.dll File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {EE9A4208-64EC-11DE-8440-204256D89593} - C:\PROGRA~1\SHAREA~1\MediaBar\ToolBar\ShareazaMediabarDx.dll File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\SHAREA~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\Shareaza Applications\MediaBar\Datamngr\datamngr.dll (Discordia, LTD)
O20 - AppInit_DLLs: (C:\PROGRA~1\SHAREA~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\Shareaza Applications\MediaBar\Datamngr\IEBHO.dll (Discordia, LTD)

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu, a loga nie musisz prezentować.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

Explorer zaliczył crash:

 

Ale w jakich okolicznościach? Na błędzie "Nazwa modułu z błędem: TosBtShell.dll_unloaded", czyli biblioteka rozszerzenia powłoki dla BlueTooth.

 

 

 

.

Odnośnik do komentarza

1. Żaden z wyników MBAM nie wydaje się kluczowy. Kolejno:

  • Malware.Trace to owszem ślad po infekcji, ale już tylko ślad. Kasuj.
  • Wyniki z Thinstall to fałszywe alarmy. Sprawę omawiałam na forum w tym temacie: KLIK.
  • Wyniki określone jako PUM* to tylko adnotacja o wyłączonych alertach Centrum zabezpieczeń. Ten typ objaśniałam z kolei tu: KLIK.
  • Malware.Packer.GenX na bibliotece językowej Alcohola zdaje się być fałszywym alarmem.
  • Affiliate.Downloader chyba też, choć podejrzane, że plik ma podwójne rozszerzenie *.rar.exe.
  • A to co jest wykryte w katalogach Autodesk to chyba jakieś cracki, za takie rzeczy nie podłożę głowy na pniu.

2. Na zakończenie wykonaj istotne aktualizacje / sprawdzanie wersji: KLIK. Tutaj próbka wykazu wersji z logów Twojego systemu:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16

"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"FileZilla Client" = FileZilla Client 3.5.2

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)

"Spik" = Spik

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-334412001-3445786627-2903519504-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Tlen.pl" = Tlen.pl

 

 

W ramach dywagacji pobocznych punktuję tu combo Spik i Tlen.pl ze względu na kalekość obu rozwiązań, a oba komunikatory porzucone przez firmy macierzyste i nierozwijane. Proponuję wymianę jednym a dobrym i nowoczesnym. Do wglądu moje opracowanie Darmowe komunikatory. Pod uwagę opisy aplikacji: WTW, Kadu, Miranda i AQQ. Wszystkie inne z obsługą Gadu = kiepsko i nie można ich brać na serio. Pogrubiony jest polecany przeze mnie, ale odpada, jeśli konto Jabber serwera Spika ma być logowane, serwer Spika to dinozaur, a WTW nie obsługuje takich archaizmów, tylko nowoczesne serwery XMPP pozwala zalogować. Do Jabber Spik nadają się za to pozostałe wyliczone tu komunikatory lub inne opisane w sekcji klientów Jaber / XMPP.

 

 

Zazwyczaj dziejie się to przy operacjach "kopiuj", "wytnij". Jednak "Nazwa modułu...." zmienia się i nie zawsze dotyczy Toshiba BlueTooth. Jak znów wyskoczy wkleję tu szczegóły. Jak dobrze pamiętam w 90% dotyczy to bibliotek dll.

 

Objawy sugerują wadliwe rozszerzenia powłoki. Wykonaj test za pomocą aplikacji ShellExView. W programie zaznacz z wciśniętym CTRL zbiorowo wszystkie różowe pozycje (niedomyślne rozszerzenia) i wyłącz, następnie zresetuj system i podaj czy widzisz jakąś poprawę.

 

 

 

.

Odnośnik do komentarza

Wszystko jakby wróciło do normy.

Oprócz faktu iż nie ma możliwości uruchomienia usługi "Centrum zabezpieczeń". Pojawia się komunikat "Nie można uruchomić Centrum zabezpieczeń"

 

Odnośnie komunikatorów, Tlen używany tylko chyba z przyzwyczajenia. Kadu używam pod Linuxem i nie mogę się do niego przekonać. Spróbuję WTW - screen'y wyglądają przyjaźnie.

 

Nie wiem, czy nie przydałoby się zmienić antywirusa. Tylko czy jakaś racjonalna alternatywa dla Avast! istnieje?

Odnośnik do komentarza
Wszystko jakby wróciło do normy.

 

Mówisz o operacji z ShellExView? Jeśli to pomogło, teraz należy zacząć się "cofać wstecz" włączając partiami (np. wg producenta) uprzednio wyłączone rozszerzenia + restart, i tak aż wychwycisz który obiekt tworzy kolizję. Ten na trwałe zostaw wyłączony.

 

 

Oprócz faktu iż nie ma możliwości uruchomienia usługi "Centrum zabezpieczeń". Pojawia się komunikat "Nie można uruchomić Centrum zabezpieczeń"

 

Dodaj log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

 

Nie wiem, czy nie przydałoby się zmienić antywirusa. Tylko czy jakaś racjonalna alternatywa dla Avast! istnieje?

 

Nie sądzę, by istniała taka potrzeba. "Na pocieszenie": w innych tematach różne antywirusy w tle, tak darmowe jak i komercyjne, a system został zainfekowany UKAS-em.

 

 

.

Odnośnik do komentarza

Tak, ShellExView. Jak na razie chyba pozostanę przy większości wyłączonej, gdyż np. z BlueTooth nie korzystam w ogóle inne natomiast to zazwyczaj jakiś toolbar lub helper.

Chyba, że jest taka konieczność na znalezienie kolizji i usunięcie danej aplikacji/procesu.

 

[EDIT]

 

+ log FSS

 

Centrum Zabezpieczeń miałem wyłączone w Usługach. services.msc i ponowne uruchomienie pomogło. Nie wiem czy to odpowiedni sposób tylko.

 

P.S. Czy da się uniknąć informacji o wyłączonej kontroli rodzicielskiej?

FSS.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...