Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
Witam, jakoż jestem nowy na forum chciałbym się przywitać! Ostatnio włączając komputer ukazuje się znany wszystkim ekran pt. "Twój komputer został zablokowany", wg. googli jest to tzw. "UKASH". Chciałbym także zwrócić uwagę na to, że komputer ostatnimi czasy strasznie zwolnił (Teraz Grand Theft Auto: San Andreas chodzi mi w 30 klatkach, a powinien w min. 50) , a przy wyłączaniu pojawia się okienko "kończenie pracy programu rundll32.exe i muszę klikać "zakończ teraz" za każdym razem.
Logi zrobione OTL''em.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
W własne pole skanowania/skrypt w OTL wklej:
Kod: :Processes
Killallprocesses
:OTL
PRC - [2012-09-19 15:50:47 | 000,233,472 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\Premium\OptimizerPro\OptimizerPro.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://websearch.mocaflix.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d008d640000000000000000854187c35&tlver=1.4.19.19&affID=19444
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8fbdfc7a-19e4-11e1-9176-000854187c35&q={searchTerms}
IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8fbdfc7a-19e4-11e1-9176-000854187c35&q={searchTerms}
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzutDtDtDzzyDyEtCzzyB0CtAyD0DyCyEtDtN0D0Tzu0CtAtCyCtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1845228416
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.mocaflix.com/?l=1&q={searchTerms}
IE - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.babylon.com/?babsrc=HP_ss&mntrId=d008d640000000000000000854187c35&tlver=1.4.19.19&affID=19444
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:File not found
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files\Funmoods\1.5.23.22\bh\escort.dll (Funmoods BHO)
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (Search Results Toolbar) - {94366e2c-9923-431c-b0d6-747447dd0f2b} - C:\Program Files\searchresults1\searchresultsDx.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files\Funmoods\1.5.23.22\escorTlbr.dll (Funmoods)
O3 - HKU\S-1-5-21-1417001333-1965331169-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O33 - MountPoints2\{3299fe6c-fe4d-11d5-94c5-000854187c35}\Shell\AutoRun\command - "" = K:\yveqsh93.exe
O33 - MountPoints2\{3299fe6c-fe4d-11d5-94c5-000854187c35}\Shell\open\Command - "" = K:\yveqsh93.exe
Files:
C:\yveqsh93.exe
C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\Funmoods
C:\Documents and Settings\lolek.787F84AB93E84C4\Menu Start\Programy\Autostart\runctf.lnk
C:\WINDOWS1\System32\mgking0.dll
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
Klik na wykonaj skrypt. Pokaż nowy log po usuwaniu.
Pobierz:
[Aby zobaczyć linki, zarejestruj się tutaj]
Naciśnij delete/usuń.
Mam zagwozdkę z tym plikiem:
Kod: C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Temp\wlsidten.dll
Podpisany jest jako Корпорация Майкрософт . Przeskanuj go na [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 362
Liczba wątków: 15
Dołączył: 01.08.2012
Reputacja:
15
Cytat: Корпорация Майкрософт
To znaczy po Bułgarsku Microsoft Corporation. Na innych forach to usuwają.
Najprawdopodobniej plik jest szkodliwy, ale nie zaszkodzi przeskanować na VT.
Z tego co wyczytałem, to plik pochodzi od infekcji UKASH.
BitDefender Internet Security 2013 | Malwarebytes Anti-Malware | HitmanPro (pełna wersja).
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Z przetłumaczeniem nie miałem problemu. Jestem ciekawy czy to zagrożenie dlatego kazałem przeskanować na virustotal.
Liczba postów: 362
Liczba wątków: 15
Dołączył: 01.08.2012
Reputacja:
15
Na fixitpc picasso usuwa go, jest powiązany z infekcją UKASH.
Dodano: 27 gru 2012, 11:59
Tym bardziej, że plik znajduje się w katalogu temp, więc można spokojnie go usunąć.
BitDefender Internet Security 2013 | Malwarebytes Anti-Malware | HitmanPro (pełna wersja).
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
Tamtego syfu przy starcie nie ma. Jednak po włączeniu pojawia się błąd o nazwie okna RUNDLL "wystąpił błąd podczas ładowania (tutaj ścieżka do pliku wlsidten.dll). Nie można odnaleźć określonego modułu."
I nie mogę zeskanować tego pliku, bo nie chce mi się włączyć wyświetlanie ukrytych plików i folderów.(prawdopodobnie conflicker)
LOGI:
LOG ADWCLEANERA PO PONOWNYM WŁĄCZENIU KOMPUTERA:
[Aby zobaczyć linki, zarejestruj się tutaj]
LOG OTL WYŚWIETLONY PO PONOWNYM URUCHOMIENIU KOMPUTERA PO WYKONANIU SKRYPTU:
[Aby zobaczyć linki, zarejestruj się tutaj]
LOGI OTL ZROBIONE PRZEZEMNIE
OTL.Txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
EDIT:
To mam go usuwać, czy nie?
EDIT2:
Kiedy wyłączam komputer pojawia się znowu zamykanie "rundll32.exe"
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Błąd masz bo pozostał jeszcze skrót w autostarcie,chwile poczekaj
W własne opcje skanowania skrypt wklej i wykonaj
Kod: :Services
winmgmt
:OTL
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
[2012-04-17 23:59:52 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\lolek.787F84AB93E84C4\Dane aplikacji\Mozilla\Firefox\Profiles\66bygi26.default\searchplugins\conduit.xml
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\lolek.787F84AB93E84C4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = E:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
O20 - AppInit_DLLs: (c:\progra~1\mocaflix\sprote~1.dll) -File not found
:Files
C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\netdislw.js
C:\Documents and Settings\lolek.787F84AB93E84C4\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users.WINDOWS1\Dane aplikacji\netdislw.pad
:Commands
[EMPTYTEMP]
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
A jak rozwiązać pozostałe moje problemy?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nic nie napisałeś czy w ogóle wykonałeś ten skrypt czy nie i jaki jest rezultat
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
Już sięnie wyświetla ten błąd na starcie.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Czy występują jeszcze jakieś problemy ?
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
To co pisałem jeszcze w 6 poście, z tymi folderami i wyłączaniem komputera. A dodatkowo komputer jest strasznie wolny.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
w uruchom wpisz cmd i z PPM uruchom jako administrator i wpiszsfc /scannow jeśli jakikolwiek plik systemowy jest uszkodzony nastąpi jego naprawa
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
Potrzeba dysk cd cwaniaku
Dobra, już mam.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Można i tak
Reinstalacja plików z pominięciem płyty:
W uruchom wpisz webfldrs.msi klik ok,następnie wybierz select reinstall mode i zaznacz wszystko potwierdzając ok i odczekaj chwilę
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
Nie rozwiązuje to problemu z folderami, ale zaraz zobaczę, czy się normalnie wyłącza.
Edit. Dalej się nie wyłącza normalnie
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Spróbuj jeszcze tak
uruchom notatnik wklej w nim to
Kod: sc delete EagleNT
sc delete ALSysIO
pause
zapisz jako fix.bati wykonaj,nie zapomnij w opcjach folderów/widok odhaczyć ukryj rozszerzenia znanych typów plików
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
EagleNT z tego co wyczytałem to jakiś anti-cheat. Może mieć wpływ na to?
Liczba postów: 38
Liczba wątków: 0
Dołączył: 05.04.2012
Reputacja:
10
W logach nadal aktywna jest infekcja (której wcześniejsze skrypty nie usunęły) , jednakże potrzeba nowych logów by móc dokładnie stwierdzić co jest jeszcze do kasacji. Pokaż nowe logi z OTL oraz log z RSIT.
Liczba postów: 27
Liczba wątków: 2
Dołączył: 27.12.2012
Reputacja:
1
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Pokazywanie ukrytych folderów dalej nie działa. Za chwilkę zobaczę co z wyłączaniem.
EDIT
Wyłącza dalej tak samo, czyli zamykanie rundll32.exe.
|