Wiem, że już męczy Was ten temat, ale bardzo proszę o pomoc. Załączam potrzebne informacje i jeszcze raz uprzejmie proszę o pomoc Edit: Zrobiłem i wrzuciłem logi według wskazówek na forum. Cierpliwie czekam na pomoc życzliwego eksperta
Aktualizacje na programosy.pl:
DBF Viewer • Camtasia Studio • GetFLV • MediaInfo • EverNote • reaConverter Lite • Visual Studio Code • Chromium • Kaspersky Rescue Disk
-
- Ogłoszenie:
Blokada policyjna, ukash
7 posty(ów) • Strona 1 z 1
Blokada policyjna, ukash
przez kamson88 06 Lis 2012, 15:39
Wiem, że już męczy Was ten temat, ale bardzo proszę o pomoc. Załączam potrzebne informacje i jeszcze raz uprzejmie proszę o pomoc Edit: Zrobiłem i wrzuciłem logi według wskazówek na forum. Cierpliwie czekam na pomoc życzliwego eksperta
- Załączniki
-
OTL.Txt- (118.23 KiB) Ściągnięto 13 razy
-
- Extras.Txt
- (42.66 KiB) Ściągnięto 15 razy
Ostatnio edytowany przez kamson88, 06 Lis 2012, 16:42, edytowano w sumie 1 raz
Blokada policyjna, ukash
przez dada0014 06 Lis 2012, 16:22
Wita, mam taki sam problem, Proszę o pomoc. Dodaje pliki z OTL. Z góry dziękuję.
http://przeklej.net/down/90766348284309557431543563021025053c4c83316f8ce56e2161ba1.html
http://przeklej.net/down/176636547083728740568612968375389770147527df75341897dfe95.html
http://przeklej.net/down/90766348284309557431543563021025053c4c83316f8ce56e2161ba1.html
http://przeklej.net/down/176636547083728740568612968375389770147527df75341897dfe95.html
Blokada policyjna, ukash
przez ordynat 06 Lis 2012, 16:57
@dada0014:
załóż swój temat
-------------------------------------------------------------------------------------------------------------------------------------
@kamson88:
masz też dużo gorszą infekcję: ZeroAcces/Sirefef.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Użyj >Adw-cleaner. Kliknij w nim Delete
Pokaż raport z niego C:\AdwCleaner[S1].txt
3) Użyj >>RogueKiller
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Daj z tego raport.
4) Do >SystemLook-64 wklej:
Naciśnij Look i pokaż raport.
5) Zrób też log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
6) Zrób nowy log z OTL.
.
załóż swój temat
-------------------------------------------------------------------------------------------------------------------------------------
@kamson88:
masz też dużo gorszą infekcję: ZeroAcces/Sirefef.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2012/07/29 08:30:02 | 000,000,051 | ---- | C] () -- C:\ProgramData\eqpbvzwkhsafuoo
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
[2012/11/06 14:02:43 | 083,023,306 | ---- | M] () -- C:\ProgramData\0tbpw.pad
[2012/11/06 13:04:30 | 000,000,804 | ---- | M] () -- C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O4 - HKU\S-1-5-21-1373861547-1034826378-150731163-1000..\Run: [nq0acs91] C:\Users\user\AppData\Roaming\nq0acs91.exe File not found
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22}
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=a0099a36-b314-11e1-88e6-c880d8ecb270
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22}
IE - HKLM\..\SearchScopes\{386A9FBD-68B5-46EA-BC78-0DF782A8A5CA}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=a0099a36-b314-11e1-88e6-c880d8ecb270
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22}
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\SearchScopes\{386A9FBD-68B5-46EA-BC78-0DF782A8A5CA}: "URL" = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=a0099a36-b314-11e1-88e6-c880d8ecb270&q={searchTerms}
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
IE - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://search.bearshare.com//web?src=ffb&appid=0&systemid=2&sr=0&q="
[2011/09/13 02:49:26 | 000,002,503 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\olucr6gp.default\searchplugins\SearchResults.xml
[2012/06/10 16:55:13 | 000,000,792 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\olucr6gp.default\searchplugins\startsear.xml
[2010/01/21 16:56:54 | 000,001,250 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\olucr6gp.default\searchplugins\winamp-search.xml
[2011/10/27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
[2011/09/13 02:49:26 | 000,002,503 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml
O2:64bit: - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\x64\IEBHO.dll (MusicLab, LLC)
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll ()
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1373861547-1034826378-150731163-1000\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found.
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\datamngrUI.exe (MusicLab, LLC)
O4 - HKLM..\Run: [MozillaAgent] C:\Windows\Temp\_ex-68.exe File not found
O4 - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKU\S-1-5-21-1373861547-1034826378-150731163-1000..\Run: [cacaoweb] C:\Users\user\AppData\Roaming\cacaoweb\cacaoweb.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.4.1)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.4.1)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\x64\datamngr.dll (MusicLab, LLC)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\x64\IEBHO.dll (MusicLab, LLC)
O20 - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\datamngr.dll (MusicLab, LLC)
O20 - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files (x86)\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Użyj >Adw-cleaner. Kliknij w nim Delete
Pokaż raport z niego C:\AdwCleaner[S1].txt
3) Użyj >>RogueKiller
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Daj z tego raport.
4) Do >SystemLook-64 wklej:
:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
:filefind
services.exe
Naciśnij Look i pokaż raport.
5) Zrób też log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
6) Zrób nowy log z OTL.
.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
Blokada policyjna, ukash
przez kamson88 06 Lis 2012, 20:15
Zrobiłem wszystko po kolei. Po wprowadzeniu nowego skryptu i restarcie wyskoczył mi plik 11062012_180929
i wszystko szło jak w instrukcji aż do punktu 3. Podczas ściągania RogueKiller znowu załączyła się blokada więc wyłączyłem komputer i włączyłem w trybie awaryjnym z obsługą sieci i dokończyłem postępowanie według instrukcji. Teraz wydaje się być wszystko ok. Java mnie pyta o wprowadzenie zmian na tym komputerze czy mam potwierdzić?
Przesyłam wszystkie informacje (w kolejności w jakiej mi wyskakiwały), o które prosiłeś. Czy wszystko jest już ok?
Dodano Dzisiaj, 19:31:
ordynat wszystko wskazuje na to, że problem został zażegnany. Dziękuję Ci bardzo! Gdyby nie Ty to pewnie bym sobie nie poradził. Dobrze, że są tacy ludzie, którzy chcą pomagać takim laikom jak ja
Jeszcze raz serdecznie dziękuję! Czy mogę coś dla Ciebie zrobić?
DO ZAMKNIĘCIA
Spoiler:
Przesyłam wszystkie informacje (w kolejności w jakiej mi wyskakiwały), o które prosiłeś. Czy wszystko jest już ok?
Dodano Dzisiaj, 19:31:
ordynat wszystko wskazuje na to, że problem został zażegnany. Dziękuję Ci bardzo! Gdyby nie Ty to pewnie bym sobie nie poradził. Dobrze, że są tacy ludzie, którzy chcą pomagać takim laikom jak ja
Jeszcze raz serdecznie dziękuję! Czy mogę coś dla Ciebie zrobić?DO ZAMKNIĘCIA
- Załączniki
-
- AdwCleaner[S1].txt
- (5.15 KiB) Ściągnięto 6 razy
-
- RKreport[2]_D_11062012_02d1833.txt
- (3.36 KiB) Ściągnięto 14 razy
-
- SystemLook.txt
- (3.62 KiB) Ściągnięto 13 razy
-
- FSS.txt
- (5.19 KiB) Ściągnięto 12 razy
-
- OTL.Txt
- (93.13 KiB) Ściągnięto 10 razy
-
- Extras.Txt
- (43.26 KiB) Ściągnięto 10 razy
Blokada policyjna, ukash
przez ordynat 06 Lis 2012, 21:03
ZeroAcces zniszczył całkowicie kilka usług Systemowych.
Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.
Zrób nowy log z FSS.
Infekcja "UKASH" jest znowu w nowym logu.
Te powyższe też daję do usuwania - jeśli je znasz, to Skrypt trzeba będzie zmienić.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.
Zrób nowy log z FSS.
Infekcja "UKASH" jest znowu w nowym logu.
C:\Users\user\AppData\Roaming\Kedae
C:\Users\user\AppData\Roaming\Opaxp
C:\Users\user\AppData\Roaming\Xoiwgo
Te powyższe też daję do usuwania - jeśli je znasz, to Skrypt trzeba będzie zmienić.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\user\AppData\Roaming\Kedae
C:\Users\user\AppData\Roaming\Opaxp
C:\Users\user\AppData\Roaming\Xoiwgo
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
-
Blokada policyjna, ukash
przez kamson88 07 Lis 2012, 16:53
Ok. ServiceRepair zapytał tylko czy uruchomić i sam odpalił.
Wszystko poszło chyba ok. Mam pytanie co z tą javą - normalnie bym potwierdził aktualizację, ale a) raczej nigdy tak nie wołała, b) teraz to się boję nawet painta odpalić
Miałem Ci zrobić printscreen, ale miedzy czasie działał OTL i bałem się coś ruszać w tym czasie.
Tu masz raport po wykonaniu skryptu w OTL
Daj znać, proszę czy już jest OK. Jeszcze raz dziękuję za pomoc
Wszystko poszło chyba ok. Mam pytanie co z tą javą - normalnie bym potwierdził aktualizację, ale a) raczej nigdy tak nie wołała, b) teraz to się boję nawet painta odpalić
Miałem Ci zrobić printscreen, ale miedzy czasie działał OTL i bałem się coś ruszać w tym czasie.
Tu masz raport po wykonaniu skryptu w OTL
Spoiler:
Daj znać, proszę czy już jest OK. Jeszcze raz dziękuję za pomoc
- Załączniki
-
- OTL.Txt
- (97.89 KiB) Ściągnięto 12 razy
-
- Extras.Txt
- (45.94 KiB) Ściągnięto 11 razy
-
- FSS.txt
- (2.3 KiB) Ściągnięto 9 razy
Blokada policyjna, ukash
przez ordynat 07 Lis 2012, 18:02
Wg mnie - jest już OK.
W Adw-Cleaner kliknij na przycisk Uninstall
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
FSS -usuń ręcznie.
RogueKiller - nawet nie pamiętam, jak się go usuwa, ale chyba też ręcznie.
ESET Service Repair - chyba też ręcznie.
Co do Javy:
Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://java.com/pl/download/windows_xpi.jsp?locale=pl
Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml
.
W Adw-Cleaner kliknij na przycisk Uninstall
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
SystemLook - usuń ręcznie.
FSS -usuń ręcznie.
RogueKiller - nawet nie pamiętam, jak się go usuwa, ale chyba też ręcznie.
ESET Service Repair - chyba też ręcznie.
Co do Javy:
Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://java.com/pl/download/windows_xpi.jsp?locale=pl
Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml
.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
-
7 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 15 gości