Ukash zablokowany komputer - proszę o pomoc

**Posty:** 3 · przez **mat_eyo** 27 Lip 2012, 16:11

Witam!

Niestety i ja zostałem ofiarą tego złośliwego badziewia. Próbowałem poradzić sobie z tym na własny sposób ale żadna z metod znalezionych w sieci nie skutkuje. Bardzo proszę o pomoc, poniżej zamieszczam wymagane logi:

OTL
http://wklej.org/id/798858/

Extras
http://wklej.org/id/798859/

Pozdrawiam,
Maciek

**Posty:** 18165 · przez **wojtas** 27 Lip 2012, 17:11

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys -- (lvupdtio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\ASUS p8700\AppData\Roaming\Mozilla\Firefox\Profiles\v30jvhmx.default\searchplugins\startsear.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [DisableS3S4] c:\DisableS3S4.cmd File not found
O4 - HKCU..\Run: [pnudnrcosqzjete] C:\ProgramData\pnudnrco.exe ()
O4 - HKLM..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe File not found
O33 - MountPoints2\{22c7cba3-9726-11de-83eb-0026186c52b9}\Shell\AutoRun\command - "" = H:\autorun.exe
O33 - MountPoints2\{4111218b-4a64-11e1-a629-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{4111218b-4a64-11e1-a629-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{477e166b-7b10-11e1-b196-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{477e166b-7b10-11e1-b196-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{477e166e-7b10-11e1-b196-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{477e166e-7b10-11e1-b196-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{477e1675-7b10-11e1-b196-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{477e1675-7b10-11e1-b196-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{477e1679-7b10-11e1-b196-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{477e1679-7b10-11e1-b196-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{503c133b-f7ba-11df-b17a-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\USBVAU~1\syn.exe
O33 - MountPoints2\{503c133b-f7ba-11df-b17a-e0cb4e32ff64}\Shell\explore\command - "" = G:\USBVAU~1/syn.exe
O33 - MountPoints2\{503c133b-f7ba-11df-b17a-e0cb4e32ff64}\Shell\open\command - "" = G:\USBVAU~1/syn.exe
O33 - MountPoints2\{639330fe-781e-11e1-97c5-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\d1vmq.exe
O33 - MountPoints2\{639330fe-781e-11e1-97c5-e0cb4e32ff64}\Shell\open\Command - "" = G:\d1vmq.exe
O33 - MountPoints2\{7a8139aa-28c9-11e1-b0e8-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{7a8139aa-28c9-11e1-b0e8-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{7a8139ad-28c9-11e1-b0e8-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{7a8139ad-28c9-11e1-b0e8-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{7a8139c8-28c9-11e1-b0e8-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{7a8139c8-28c9-11e1-b0e8-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{81f122f4-5c01-11e1-9eb9-e0cb4e32ff64}\Shell\AutoRun\command - "" = H:\anoataly.exe
O33 - MountPoints2\{81f122f4-5c01-11e1-9eb9-e0cb4e32ff64}\Shell\open\Command - "" = H:\anoataly.exe
O33 - MountPoints2\{94e0228c-7e7a-11e1-99c5-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\RunClubSanDisk.exe
O33 - MountPoints2\{962eb66b-c252-11de-9bac-0026186c52b9}\Shell - "" = AutoRun
O33 - MountPoints2\{962eb66b-c252-11de-9bac-0026186c52b9}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{a73e0943-49b8-11e1-b907-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{a73e0943-49b8-11e1-b907-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{b5706062-86d8-11e1-94de-e0cb4e32ff64}\Shell - "" = Autorun
O33 - MountPoints2\{b5706062-86d8-11e1-94de-e0cb4e32ff64}\Shell\AutoRun\command - "" = setup.exe
O33 - MountPoints2\{db33f041-7afe-11df-8d07-0026186c52b9}\Shell - "" = AutoRun
O33 - MountPoints2\{db33f041-7afe-11df-8d07-0026186c52b9}\Shell\AutoRun\command - "" = F:\Setup.exe
O33 - MountPoints2\{e09b4814-802a-11e1-ba55-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{e09b4814-802a-11e1-ba55-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{e09b4834-802a-11e1-ba55-e0cb4e32ff64}\Shell - "" = AutoRun
O33 - MountPoints2\{e09b4834-802a-11e1-ba55-e0cb4e32ff64}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{f7c34c0c-23dd-11df-b46d-0026186c52b9}\Shell\AutoRun\command - "" = F:\d1vmq.exe
O33 - MountPoints2\{f7c34c0c-23dd-11df-b46d-0026186c52b9}\Shell\open\Command - "" = F:\d1vmq.exe
O33 - MountPoints2\{f84a8a76-d617-11de-b307-0026186c52b9}\Shell\AutoRun\command - "" = F:\d1vmq.exe
O33 - MountPoints2\{f84a8a76-d617-11de-b307-0026186c52b9}\Shell\open\Command - "" = F:\d1vmq.exe
[2012-07-27 14:44:01 | 000,000,000 | ---D | C] -- C:\ProgramData\oaohvikwslsippz
[2012-07-27 14:44:01 | 000,000,051 | ---- | M] () -- C:\ProgramData\rskconibkcbjkmh
[2012-07-27 15:18:14 | 000,002,130 | ---- | C] () -- C:\Windows\System32\.crusader
[2010-09-05 18:58:07 | 000,002,432 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\TemppC3860.html
[2010-09-05 18:58:07 | 000,002,089 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\TempVf3860.html
@Alternate Data Stream - 55920 bytes -> C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM
[2010-02-08 18:45:04 | 000,002,432 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\Tempcl4048.html
[2010-02-08 18:45:04 | 000,002,089 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\TempNW4048.html
[2010-02-08 18:41:59 | 000,002,432 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\TempPv5392.html
[2010-02-08 18:41:59 | 000,002,089 | ---- | C] () -- C:\Users\ASUS p8700\AppData\Local\TempDR5392.html

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

**Posty:** 3 · przez **mat_eyo** 27 Lip 2012, 18:35

Ok trochę dziwna sytuacja bo po kliknięciu wykonaj skrypt OTL chwilę coś mielił i się wieszał, musiałem z palca zrestartować kompa. Jeśli to ma znaczenie to dodam, że robiłem to w trybie awaryjnym z obsługą sieci. Po restarcie komp jak na razie działa więc chyba ten skrypt się przetworzył.
Poniżej nowe logi:

AdwCleaner:
http://wklej.org/id/798942/

OTL po ostatnim skanie:
http://wklej.org/id/798943/

**Posty:** 18165 · przez **wojtas** 28 Lip 2012, 14:40

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )
* Skasuj stan przywracania systemu

Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Internet Explorer 9
>>> Java™ 6

napisz jak sytuacja z komputerem

**Posty:** 3 · przez **mat_eyo** 29 Lip 2012, 15:07

Z kompem już dobrze, wszystko działa i działa szybko. Anti-Malware znalazł jakieś dwa zagrożenia, które usunąłem, poniżej wrzucam log:

http://wklej.org/id/799907/

Bardzo dziękuję za pomoc!

**Posty:** 18165 · przez **wojtas** 29 Lip 2012, 15:09

spoko

mogłeś to zostawić bo to chyba znane Ci pliki

pozdro