SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Blokada Ukash
Pełna wersja: Blokada Ukash
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Elvis

22.07.2012, 11:53
Wyświetliła się informacja że komp został zablokowany i chce 500 zł za kod. Jestem zielony w sprawach informatyki...

Za ewentualną pomoc z góry dziękuje
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS:

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves

22.07.2012, 12:15
Do OTL w własne pole skanowania skrypt wklej:
Kod:
:Processes
Killallprocesses

:OTL
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{01372235-cf7d-11df-98f2-002354721d5e}\Shell - "" = AutoRun
O33 - MountPoints2\{01372235-cf7d-11df-98f2-002354721d5e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{0137223e-cf7d-11df-98f2-002354721d5e}\Shell - "" = AutoRun
O33 - MountPoints2\{0137223e-cf7d-11df-98f2-002354721d5e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{16d7692c-4e61-11e0-8249-002354721d5e}\Shell - "" = AutoRun
O33 - MountPoints2\{16d7692c-4e61-11e0-8249-002354721d5e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{230720fb-29e7-11e0-b19e-002354721d5e}\Shell\AutoRun\command - "" = G:\pridjimi\\\necedaboli.exe
O33 - MountPoints2\{230720fb-29e7-11e0-b19e-002354721d5e}\Shell\explore\command - "" = G:\pridjimi\\\necedaboli.exe
O33 - MountPoints2\{230720fb-29e7-11e0-b19e-002354721d5e}\Shell\Install\command - "" = G:\pridjimi\\\necedaboli.exe
O33 - MountPoints2\{230720fb-29e7-11e0-b19e-002354721d5e}\Shell\open\command - "" = G:\pridjimi\\\necedaboli.exe
O33 - MountPoints2\{23072109-29e7-11e0-b19e-002354721d5e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\mwrioy.EXe
O33 - MountPoints2\{de9030a3-ebf8-11df-96bc-002354721d5e}\Shell - "" = AutoRun
O33 - MountPoints2\{de9030a3-ebf8-11df-96bc-002354721d5e}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{dfa1a884-588b-11e1-b882-002354721d5e}\Shell - "" = AutoRun
O33 - MountPoints2\{dfa1a884-588b-11e1-b882-002354721d5e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\wpavi.avi
[2012-07-21 00:42:45 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
[2012-07-20 21:47:26 | 000,000,051 | ---- | M] () -- C:\ProgramData\pumrbjzonfiankp
[2012-07-20 21:47:20 | 000,053,248 | ---- | M] () -- C:\ProgramData\rpwsartb.exe
[2012-07-20 21:47:20 | 000,053,248 | ---- | M] () -- C:\Users\Agnieszka\ms.exe

:Commands
[EMPTYFLASH]
[EMPTYJAVA]
[EMPTYTEMP]

Wykonaj skrypt. Pokaż nowy log po usuwaniu.
Problem powinien zniknąć.

Na

[Aby zobaczyć linki, zarejestruj się tutaj]

przeskanuj:
Kod:
C:\ProgramData\rpwsartb.exe


I daj link do skanu.

tachion

22.07.2012, 12:29
dodaj jeszcze to

Kod:
[2012-07-20 21:47:24 | 000,000,000 | ---D | C] -- C:\ProgramData\mcqaiebjrszzsnh

Waves

22.07.2012, 12:31
Żeby nie mieszać do OTL w własne pole skanowania skrypt:
Kod:
:Files
C:\ProgramData\mcqaiebjrszzsnh


Wykonaj skrypt.

Elvis

22.07.2012, 13:21
Nowy log oczywiście uwzględniłem ostatni post Waves97:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS:

[Aby zobaczyć linki, zarejestruj się tutaj]


Nie mogłem przeskanować
Na

[Aby zobaczyć linki, zarejestruj się tutaj]

:
C:\ProgramData\rpwsartb.exe

nie może odnaleźć pliku

Windows sie juz normalnie odpala

Waves

22.07.2012, 13:44
Usuń Babylon Toolbar poprzez panel sterowania.

Do OTL jeszcze to:
Kod:
:Processes
Killallprocesses

:Files
C:\Windows\System32\acovcnt.exe
C:\ProgramData\mcqaiebjrszzsnh
C:\Users\Agnieszka\AppData\Local\Temp*.html
C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe

:OTL
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll (Babylon Ltd.)
O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)

Wykonaj skrypt.

Pobierz teraz MBAM i wykonaj skan poprzedzony aktualizacją bazy. Pełny skan. Pokaż raport.

Do programu systemlook ( 32 bit-http://jpshortstuff.247fixes.com/SystemLook.exe / 64 bit-

[Aby zobaczyć linki, zarejestruj się tutaj]

)
wklej:
Kod:
:dir
rpwsartb.exe

:regfind
rpwsartb.exe
acovcnt.exe


Pokaż co program pokaże.

Wszystko wykonaj w takiej kolejności jak napisałem Smile

Elvis

22.07.2012, 15:24
raport z MBAM:

[Aby zobaczyć linki, zarejestruj się tutaj]


raport z systemlook:

[Aby zobaczyć linki, zarejestruj się tutaj]


Wszystko wykonałem w odpowiedniej kolejności

Waves

22.07.2012, 18:29
Więc w OTL naciśnij sprzątanie. To usunie go wraz z śmieciami Wink Pamiętaj aby zaktualizować system oraz inne potrzebne dodaki .
Pobierz również CClealner i wyczyść rejestr.
Z mojej strony wszystko. Dziękuję.

buri

22.07.2012, 18:38
Zaszczepiłbym jeszcze dyski oraz pendrive patrząc na ilość wpisów odnoszących się do autorun np.

[Aby zobaczyć linki, zarejestruj się tutaj]

ktośtam

22.07.2012, 19:56
Jeżeli sporo korzystasz z pamięci przenośnych, to polecam darmowy

[Aby zobaczyć linki, zarejestruj się tutaj]

.

rafal_wawa

28.07.2012, 19:59
Witam, czy możecie i mi pomóc?
moje logi
OLT

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

[Aby zobaczyć linki, zarejestruj się tutaj]

z gory dzieki

KaMiL

28.07.2012, 20:30
Do OTL w oknie własne pole skanowaniawklej ten skrypt:

Kod:
:Processes
Killallprocesses

:OTL
O4 - HKLM..\Run: [mewvqfipzvblkgw] C:\Users\All Users\Application Data\mewvqfip.exe ()
O4 - HKLM..\Run: [nwiz] nwiz.exe /installquiet File not found
O4 - HKLM..\Run: [StartNowToolbarHelper] "C:\Program Files\StartNow Toolbar\ToolbarHelper.exe" File not found
SRV - [2011-07-27 13:06:44 | 000,267,488 | ---- | M] () [Auto | Stopped] -- C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe -- (Updater Service for StartNow Toolbar)

:Files
C:\Users\All Users\Application Data\hzkydyzn.exe
C:\Users\All Users\Application Data\mewvqfip.exe
C:\Users\All Users\Application Data\ojmurbocvdzlqzd
C:\Users\All Users\Application Data\hrqdywqxzqqkrcv
C:\Program Files\StartNow Toolbar

:Commands
[EMPTYFLASH]
[EMPTYJAVA]
[EMPTYTEMP]


Kliknij Wykonaj skrypt . Komputer powinien się zrestartować. Pokaż log z usuwania, który się ukaże po restarcie.

Dodano: 28 lip 2012, 21:24

Następnie zainstaluj Malwarebytes Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Na końcu instalacji pozostaw zaznaczone, aby program się zaktualizował, po aktualizacji wykonaj Szybki skan . Jeśli coś wykryje, usuń i daj log ze skanowania.
Jeśli masz parę minut to możesz także przeskanować komputer programem HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]


Do tego zainstaluj wszystkie aktualizacje, jakie zaleca Microsoft Update, włącznie z Internet Explorer 8. Nie chcę czytać wyjaśnień, że go nie używasz. Masz go zaktualizować Smile

Dodano: 28 lip 2012, 21:28

Matko boska...
Cytat: Java™ 6 Update 17


W trybie natychmiastowym instalujesz najnowszą wersję:

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz Adobe Flash:

[Aby zobaczyć linki, zarejestruj się tutaj]

i Adobe Reader

[Aby zobaczyć linki, zarejestruj się tutaj]


W Mozilla Firefox klikasz Pomoc --> o programie firefoxi potwierdź instalację nowej wersji.

rafal_wawa

28.07.2012, 21:18
Witam,
log po restarcie

[Aby zobaczyć linki, zarejestruj się tutaj]

log z Mbam

[Aby zobaczyć linki, zarejestruj się tutaj]

aktualizacje w toku Smile

Waves

28.07.2012, 21:37
Pokaż nowy log z OTL
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Blokada Ukash