Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

wirus ukash -wirus policyjny

grzestv 14 Apr 2013 20:30 12606 63
Texa Poland
  • #1
    grzestv
    Level 28  
    Witam mam problem prawdopodobnie z ukash
    komputer nie daje się poprawnie uruchomić w trybie awaryjnym.
    zrobiłem logi otl w PE
    przy uruchamianiu się w trybie awaryjnym wyskakuje czarne pole z napisem "żeby uruchomić komputer należy nacisnąć ENTER" i za tym napisem nazwa pliku z rozszerzeniem sys.

    udało mi się uruchomić w trybie awaryjnym z wierszem poleceń i zrobiłem logi otl i gmer.
    proszę o pomoc w rozwiązaniu problemu i analizie logów
  • Texa Poland
  • #2
    Kolobos
    IT specialist
    Zmien Adobe Reader 7.0.9 na Foxit http://ninite.com/foxit/

    Wykonaj skrypt w OTL:

    :OTL
    O4 - Startup: C:\Documents and Settings\administrator\Menu Start\Programy\Autostart\alc.lnk = C:\Programme\Temp\alc.exe ()
    O4 - Startup: C:\Documents and Settings\STAR\Menu Start\Programy\Autostart\etadmetsys.bat ()
    O4 - Startup: C:\Documents and Settings\STAR\Menu Start\Programy\Autostart\xentry-fix.lnk = C:\FixXentry(2.75)\xentry-fix.bat ()
    O20 - AppInit_DLLs: (StarInsecure.dll) - C:\WINDOWS\System32\StarInsecure.dll ()

    Jezeli cos z tego to Twoj wpis to usun dana linie ze skryptu.
  • #3
    grzestv
    Level 28  
    niestety żadnego rezultatu
  • Texa Poland
  • #4
    Kolobos
    IT specialist
    Co dokladnie sie wyswietla w trybie normalnym? Daj nowy log z OTL.
  • #5
    grzestv
    Level 28  
    dalej dokładnie to samo

    nie można nic zrobić bo blokuje dostęp do wszystkiego
  • #6
    Kolobos
    IT specialist
    Tzn, co sie dokladnie dzieje? Wyswietla sie strona infekcji? Opisz dokladnie!
    Daj tez log o ktory prosilem.
  • #8
    Kolobos
    IT specialist
    Wykonaj:

    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (azjoacdd)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
    O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)

    :Files
    C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
    "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
  • #9
    Pan Szyszka
    Level 31  
    W trybie awaryjnym uruchom ComboFix. On zawsze sobie radzi z tym wirusem.
  • #10
    Zeus__
    Level 21  
    Twoim problemem jest brak pliku Hosts oraz liczne problmy uruchomieniowe usług

    Własne opcje skanowania / skrypt i wklej
    Quote:

    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)

    :FILES
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.pad
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.js

    :COMMANDS
    [emptytemp]


    wykonaj skrypt

    Aby odbudować plik hosts należy utworzyć za pomocą notatnika plik np na pulpicie i wkleić zawatrość
    Quote:

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # To jest przykładowy plik HOSTS używany przez stos Microsoft TCP/IP w systemie Windows.
    #
    # Ten plik zawiera mapowania adresów IP na nazwy komputerów.
    # Każdy wpis powinien być umieszczony w osobnym wierszu.
    # W pierwszej kolumnie powinny być umieszczone adresy IP,
    # a następnie odpowiadające im nazwy hostów.
    # Adres IP i nazwa hosta powinny być oddzielone co najmniej jedną spacją.
    #
    # Dodatkowo komentarze (takie jak te) można wstawiać w poszczególnych
    # wierszach lub po nazwie komputera, oznaczając je symbolem „#”.
    #
    # Na przykład:
    #
    # 102.54.94.97 rhino.acme.com # serwer źródłowy
    # 38.25.63.10 x.acme.com # host kliencki x

    127.0.0.1 localhost

    Plik zapisać o nazwie hosts bez żadnego rozszerzenia. Następnie otwieramy katalog
    C:\Windows\System32\drivers\etc i wklejamy tam ten plik
    Do poczytania tutaj

    Po ponownym uruchomieniu komputera daj jeszcze raz logi OTL i Extras
  • #12
    Kolobos
    IT specialist
    Tak, pliki sa w C:\_OTL\

    Dlaczego nie wykonales mojego skryptu?

    Przez co nadal masz infekcje:
    SRV - [2011-08-14 09:13:20 | 000,140,288 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat -- (winmgmt)
  • #14
    Kolobos
    IT specialist
    Nie wiem jak udalo Ci sie wykonac skrypt z bledem, skopuj caly.

    Tak to teraz wyglada:
    SRV - File not found [Auto | Stopped] -- %SystemRoot%\system32\wbem\WMIsvc.dl -- (winmgmt)

    Jak widzisz podalem z .dll na koncu.

    Dlaczego nadal nie utworzyles pliku hosts? Kolejny blad:
    [2013-04-15 20:53:26 | 000,000,737 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\host

    HOSTS, to nie to samo co HOST.

    Wykonaj skrypt w OTL:

    :OTL

    :Files
    C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat
    C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe
    C:\Documents and Settings\STAR\3842105.dll
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.pad
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.js


    Tym razem postaraj sie bardziej i wykonaj wszystko poprawnie.
  • #16
    Kolobos
    IT specialist
    Zostal jeszcze do wykonania skrypt, ktory podalem w ostatnim poscie:

    :OTL

    :Files
    C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat
    C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe
    C:\Documents and Settings\STAR\3842105.dll
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.pad
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.js

    Jezeli sie nie wykona w trybie normalnym to sprobuj w awaryjnym. Extras juz nie dawaj, jest zbedny, daj tylko log z OTL, z wykonania skryptu oraz nowy ze skanowania.
  • #18
    Kolobos
    IT specialist
    Wyglada ok, czy jeszcze wystepuje jakis problem? Jezeli nie to wybierz w OTL Sprzatanie i to wszystko.
  • #19
    grzestv
    Level 28  
    wyskakuje komunikat że rundll32
    Wystąpił błąd podczas ładowania C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat

    a resztę softu muszę sprawdzić z urządzeniami zewnętrznymi
  • #20
    Zeus__
    Level 21  
    Po pierwsze
    Pan Szyszka wrote:
    W trybie awaryjnym uruchom ComboFix. On zawsze sobie radzi z tym wirusem.


    Co TY człowieku piszesz z jakim wirusem ? Przecież Combofix to nie skaner typu AV by usuwać wirusy tylko przeznaczony jest do specyficznych infekcji.
    Na jakiej podstawie polecasz go użyć ? System jego nie jest przygotowany na użycie tego potężnego narzędzia

    Po drugie
    Kolobos wrote:
    HOSTS, to nie to samo co HOST.

    Racja Grzestv powinieneś dokładnie doczytać tę instrukcję którą Ci podałem w linku, i usunąć katalog HOSTS natomiast plik umieścić w tym katalogu którym Ci podałem

    Po trzecie
    Kolobos wrote:
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (azjoacdd)

    Tego się nie usuwa to jest sterownik programu emulującego

    Po czwarte
    Kolobos wrote:
    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
    "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"


    Może nie zadziałać prawidłowo bo we wpisach nadal widnieje plik dat.

    Grzestv spróbujmy spróbujmy odtworzyć usułgę w inny sposób Otwieramy notatnik i wklejamy zawartość:
    Quote:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
    "Type"=dword:00000020
    "Start"=dword:00000002
    "ErrorControl"=dword:00000000
    "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    "DisplayName"="Instrumentacja zarządzania Windows"
    "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
    "DependOnGroup"=hex(7):00,00
    "ObjectName"="LocalSystem"
    "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,03,00,03,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
    "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
    "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
    00,6c,00,6c,00,00,00
    "ServiceMain"="ServiceMain"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
    "0"="Root\\LEGACY_WINMGMT\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001



    Zawartość zapisujemy do pliku fix.reg zwróć uwagę by nie było *.txt tylko *.reg następnie prawoklik na fix.reg i Scal uruchamiamy ponownie komputer i pytanie czy problem ustąpił
  • #21
    grzestv
    Level 28  
    Dziękuje panowie za poświęcony mi czas-jestem wdzięczny.

    przed wykonaniem zmian w rejsetrze chciałbym opisać to co zauważyłem:
    komputer chodzi dobrze natomiast po wykonaniu ostatniego skryptu pojawił się problem z tym rundll32 i zgineła mi ikonka skrótu z pulpitu.klikając na ten skrót uruchamia się java i pokazuje się informacja: Application error -unable to launch the application. nie wiem jak mam to opisać bo nie jestem informatykiem ale jak wejdę w panel administracyjny(jest to przeglądarka IE) to program po kliknięciu uruchamia się normalnie

    ten pc jest to sprzęt który nie służy do użytku domowego i ma zainstalowane specyficzne oprogramowanie.
    jeszcze raz dziękuje za okazaną mi pomoc i proszę w dalszym ciągu o wasze bezcenne rady
    pozd.grzestv
  • #22
    Zeus__
    Level 21  
    Po którym skrypcie ? Proszę opisać poza tym czy był użyty combofix, i co z tych rad było zrobione ? Jeśli nie był proszę go nie używać
  • #23
    grzestv
    Level 28  
    Quote:

    :OTL

    :Files
    C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat
    C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe
    C:\Documents and Settings\STAR\3842105.dll
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.pad
    C:\Documents and Settings\All Users\Dane aplikacji\inb2od.js



    po tym skrypcie.

    wchodząc w detale tej informacji dotyczącą tegoż skrótu na pulpicie jest taki zapis
    Quote:
    CouldNotLoadArgumentException[ Could not load file/URL specified: C:\\Documents and Settings\\STAR\\Dane aplikacji\\Sun\\Java\\Deployment\\cache\\6.0\\38\\364965e6-3ca1e522]
    at com.sun.javaws.Main.launchApp(Unknown Source)
    at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
    at com.sun.javaws.Main$1.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)



    java.io.FileNotFoundException: C:\Documents and Settings\STAR\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\364965e6-3ca1e522 (Nie mo?na odnaleYa okreolonego pliku)
    at java.io.FileInputStream.open(Native Method)
    at java.io.FileInputStream.<init>(Unknown Source)
    at java.io.FileInputStream.<init>(Unknown Source)
    at com.sun.javaws.jnl.LaunchDescFactory.buildDescriptor(Unknown Source)
    at com.sun.javaws.Main.launchApp(Unknown Source)
    at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
    at com.sun.javaws.Main$1.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)

    [/quote]


    nie żadnych combofixów i tp nie było używane
    jedynie co to OTL i GMER ale to też pod Waszym nadzorem
  • #24
    Kolobos
    IT specialist
    Co to za program i czy mozesz go przeinstalowac?

    Zainstaluj najnowsza jave -> http://ninite.com/java/

    Uruchom regedit i poszukaj wpisow zawierajacych: do2bni.dat
    Jak cos znajdziesz to zrob eksport do pliku i wklej na forum.

    :arrow: Zeus__
    To co podalem wystarczylo, usluga dzialala juz poprawnie co widac w ostatnim logu.

    Teraz zostal juz tylko wpis startujacy rundll, ktorego nie widac w logu.
  • #25
    Zeus__
    Level 21  
    Ten problem mógł wystąpić po usunięciu
    Quote:

    C:\Documents and Settings\STAR\3842105.dll


    Jest to bibliotek należąca do programu StarDiagnosis którego Kolobos usunął

    jest nawet potwierdzenie w dodaj usuń programy
    Quote:

    "{22A937EF-8C64-11D7-A9EE-00D009D07BEF}" = Star Diagnosis


    Nie wiem czym się kierował usuwając ten wpis

    Proszę wejść do katalogu:
    c:\_OTL
    I tam poszukać pliku
    3842105
    następnie z powrotem wkleić do katalogu C:\Documents and Settings\STAR\
    I podać czy teraz program się poprawnie uruchamia

    Dodano po 3 [minuty]:

    Kolobos uważnie przeczytaj że użytkownikowi usunąłeś sterownik co Ty wogóle wyprawiasz ? Chcesz człowiekowi zepsuć system ? Poza tym po twoim skrypcie nadal występował problem więc nie myl człowieka i nie wprowadzaj go w błąd. Ja jeśli czegoś nie wiem to nie pisze a nie ćwiczę na obcych przypadkach
  • #26
    Kolobos
    IT specialist
    Moj blad, na szczescie plik mozna przywrocic.
  • #27
    Zeus__
    Level 21  
    Poza tym przeinstaluj Jave do najnowszej wersji

    Dodano po 2 [minuty]:

    Kolobos na drugi raz uważaj jeśli nie jesteś czegoś pewien to zaleć inne skany. tutaj naprawdę nie było podstawy sądzić że to jest coś szkodliwego ten plik nawet nie był ukryty
  • #28
    grzestv
    Level 28  
    niestety przywrócenie tego pliku dll nie poskutkowało
    ok już biorę się do javy
    ps.niestety nie ma możliwości reinstalacji tych programów które zainstalowane są na pc.
  • #29
    Zeus__
    Level 21  
    Proszę powiadomić o efektach po przeinstalowaniu javy
  • #30
    Kolobos
    IT specialist
    Watpie zeby ten plik mial zwiazek z programem, za to w logach jasno widac, ze wchodzi w sklad infekcji!

    [2011-08-14 09:13:47 | 000,000,798 | ---- | M] () -- C:\Documents and Settings\STAR\Menu Start\Programy\Autostart\msconfig.lnk
    [2011-08-14 09:13:20 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat
    [2011-08-14 09:13:20 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe
    [2011-08-14 09:13:17 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\STAR\3842105.dll

    Juz sama nazwa, lokalizacja i autor pliku wskazuja, ze to szkodliwy plik.

    > Kolobos uważnie przeczytaj że użytkownikowi usunąłeś sterownik co Ty
    > w_ogóle wyprawiasz ?

    To co widac.

    > Chcesz człowiekowi zepsuć system ?

    Niby w jaki sposob? Usuwajac infekcje?

    > Poza tym po twoim skrypcie nadal występował problem więc nie myl człowieka i
    > nie wprowadzaj go w błąd.

    Tak, wystepowal bo przegapilem jeden plik widoczny w skrypcie, ktory podalem.

    > Ja jeśli czegoś nie wiem to nie pisze a nie ćwiczę na obcych przypadkach

    Co jeszcze ciekawego chcesz mi napisac? Jedyna osoba, ktora tutaj wprowadza w blad jestes Ty.

    :arrow: grzestv
    Wykonaj jeszcze taki skrypt:

    :OTL
    [2011-08-14 09:13:47 | 000,000,798 | ---- | M] () -- C:\Documents and Settings\STAR\Menu Start\Programy\Autostart\msconfig.lnk