"Twój komputer został zablokowany"- UKASH- PROSZĘ O POMOC

[Koksownik]

Witam, jakoż jestem nowy na forum chciałbym się przywitać! Ostatnio włączając komputer ukazuje się znany wszystkim ekran pt. "Twój komputer został zablokowany", wg. googli jest to tzw. "UKASH". Chciałbym także zwrócić uwagę na to, że komputer ostatnimi czasy strasznie zwolnił (Teraz Grand Theft Auto: San Andreas chodzi mi w 30 klatkach, a powinien w min. 50) , a przy wyłączaniu pojawia się okienko "kończenie pracy programu rundll32.exe i muszę klikać "zakończ teraz" za każdym razem.
Logi zrobione OTL''em.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

W własne pole skanowania/skrypt w OTL wklej:

Kod:

:Processes
Killallprocesses

:OTL
PRC - [2012-09-19 15:50:47 | 000,233,472 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\Premium\OptimizerPro\OptimizerPro.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://websearch.mocaflix.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d008d640000000000000000854187c35&tlver=1.4.19.19&affID=19444
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8fbdfc7a-19e4-11e1-9176-000854187c35&q={searchTerms}
IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8fbdfc7a-19e4-11e1-9176-000854187c35&q={searchTerms}
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzutDtDtDzzyDyEtCzzyB0CtAyD0DyCyEtDtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1845228416
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.mocaflix.com/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.babylon.com/?babsrc=HP_ss&mntrId=d008d640000000000000000854187c35&tlver=1.4.19.19&affID=19444
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:File not found
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files\Funmoods\1.5.23.22\bh\escort.dll (Funmoods BHO)
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (Search Results Toolbar) - {94366e2c-9923-431c-b0d6-747447dd0f2b} - C:\Program Files\searchresults1\searchresultsDx.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files\Funmoods\1.5.23.22\escorTlbr.dll (Funmoods)
O3 - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O33 - MountPoints2\{3299fe6c-fe4d-11d5-94c5-000854187c35}\Shell\AutoRun\command - "" = K:\yveqsh93.exe
O33 - MountPoints2\{3299fe6c-fe4d-11d5-94c5-000854187c35}\Shell\open\Command - "" = K:\yveqsh93.exe

Files:
C:\yveqsh93.exe
C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\Funmoods
C:\Documents and Settings\lolek.787F84AB93E84C4\Menu Start\Programy\Autostart\runctf.lnk
C:\WINDOWS1\System32\mgking0.dll

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

Klik na wykonaj skrypt. Pokaż nowy log po usuwaniu.

Pobierz:

[Aby zobaczyć linki, zarejestruj się tutaj]

Naciśnij delete/usuń.

Mam zagwozdkę z tym plikiem:

Kod:

C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Temp\wlsidten.dll

Podpisany jest jako Корпорация Майкрософт . Przeskanuj go na

[Aby zobaczyć linki, zarejestruj się tutaj]

[Lukasz_root]

Корпорация Майкрософт

To znaczy po Bułgarsku Microsoft Corporation. Na innych forach to usuwają.
Najprawdopodobniej plik jest szkodliwy, ale nie zaszkodzi przeskanować na VT.
Z tego co wyczytałem, to plik pochodzi od infekcji UKASH.

[Waves]

Z przetłumaczeniem nie miałem problemu. Jestem ciekawy czy to zagrożenie dlatego kazałem przeskanować na virustotal.

[Lukasz_root]

Na fixitpc picasso usuwa go, jest powiązany z infekcją UKASH.

---

Dodano: 27 gru 2012, 11:59

Tym bardziej, że plik znajduje się w katalogu temp, więc można spokojnie go usunąć.

[Koksownik]

Tamtego syfu przy starcie nie ma. Jednak po włączeniu pojawia się błąd o nazwie okna RUNDLL "wystąpił błąd podczas ładowania (tutaj ścieżka do pliku wlsidten.dll). Nie można odnaleźć określonego modułu."
I nie mogę zeskanować tego pliku, bo nie chce mi się włączyć wyświetlanie ukrytych plików i folderów.(prawdopodobnie conflicker)
LOGI:
LOG ADWCLEANERA PO PONOWNYM WŁĄCZENIU KOMPUTERA:

[Aby zobaczyć linki, zarejestruj się tutaj]

LOG OTL WYŚWIETLONY PO PONOWNYM URUCHOMIENIU KOMPUTERA PO WYKONANIU SKRYPTU:

[Aby zobaczyć linki, zarejestruj się tutaj]

LOGI OTL ZROBIONE PRZEZEMNIE
OTL.Txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

EDIT:
To mam go usuwać, czy nie?
EDIT2:
Kiedy wyłączam komputer pojawia się znowu zamykanie "rundll32.exe"

[tachion]

Błąd masz bo pozostał jeszcze skrót w autostarcie,chwile poczekaj

W własne opcje skanowania skrypt wklej i wykonaj

Kod:

:Services
winmgmt

:OTL
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
[2012-04-17 23:59:52 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\Mozilla\Firefox\Profiles\66bygi26.default\searchplugins\conduit.xml
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = E:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
O20 - AppInit_DLLs: (c:\progra~1\mocaflix\sprote~1.dll) -File not found

:Files
C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\netdislw.js
C:\Documents and Settings\lolek.787F84AB93E84C4\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\netdislw.pad

:Commands
[EMPTYTEMP]

[Koksownik]

A jak rozwiązać pozostałe moje problemy?

[tachion]

Nic nie napisałeś czy w ogóle wykonałeś ten skrypt czy nie i jaki jest rezultat

[Koksownik]

Już sięnie wyświetla ten błąd na starcie.

[tachion]

Czy występują jeszcze jakieś problemy ?

[Koksownik]

To co pisałem jeszcze w 6 poście, z tymi folderami i wyłączaniem komputera. A dodatkowo komputer jest strasznie wolny.

[tachion]

w uruchom wpisz cmd i z PPM uruchom jako administrator i wpiszsfc /scannow jeśli jakikolwiek plik systemowy jest uszkodzony nastąpi jego naprawa

[Koksownik]

Potrzeba dysk cd cwaniaku
Dobra, już mam.

[tachion]

Można i tak
Reinstalacja plików z pominięciem płyty:
W uruchom wpisz webfldrs.msi klik ok,następnie wybierz select reinstall mode i zaznacz wszystko potwierdzając ok i odczekaj chwilę

[Koksownik]

Nie rozwiązuje to problemu z folderami, ale zaraz zobaczę, czy się normalnie wyłącza.
Edit. Dalej się nie wyłącza normalnie

[tachion]

Spróbuj jeszcze tak
uruchom notatnik wklej w nim to

Kod:

sc delete EagleNT
sc delete ALSysIO
pause

zapisz jako fix.bati wykonaj,nie zapomnij w opcjach folderów/widok odhaczyć ukryj rozszerzenia znanych typów plików

[Waves]

EagleNT z tego co wyczytałem to jakiś anti-cheat. Może mieć wpływ na to?

[Chakra]

W logach nadal aktywna jest infekcja (której wcześniejsze skrypty nie usunęły) , jednakże potrzeba nowych logów by móc dokładnie stwierdzić co jest jeszcze do kasacji. Pokaż nowe logi z OTL oraz log z RSIT.

[Koksownik]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Pokazywanie ukrytych folderów dalej nie działa. Za chwilkę zobaczę co z wyłączaniem.
EDIT
Wyłącza dalej tak samo, czyli zamykanie rundll32.exe.