Infekcja UKASH

[andrzej78]

Witam.

Moja znajoma również złapała Ukash'a. Będę wdzięczny za pomoc.

 

Edit

Wrzucam pliki raz jeszcze, bo pliki podmieniły się na wyniki skanowania mojego kompa.

OTL.Txt

Extras.Txt

[picasso]

Tu już było jakieś usuwanie. Wpis infekcji, choć nadal obecny, jest wyszczerbiony (plik już usunięty). Ale i tak jest tu co czyścić, system zabrudzony adware ... Poza tym, logi zrobione ze złego konta, czyli wbudowanego w system Administratora:

 

Computer Name: USER | User Name: Administrator | Logged in as Administrator.

 

Rejestry kont są różne, logi zupełnie inne w części HKEY_CURRENT_USER i inne katalogi kont. Logi muszą być zrobione z poziomu konta, na którym jest problem. Subtelne ślady w logu wskazują na obecność kont Dorota i Ola.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (GdfrDUEn Class) - {A3CF7606-E683-4375-A372-96B75DA0AEF7} - C:\Program Files\Get Styles\enlbrdr.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3954\TRACERT.exe File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O18 - Protocol\Filter\text/html {574940E0-1B7A-4881-8FA3-1E809714B156} - C:\Documents and Settings\Ola\AppData\LocalLow\Microńoft\redir.dll ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={9555AD46-FE49-4CEF-86A6-941D01D5F094}"
SRV - File not found [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\ehdrv.sys -- (ehdrv)
 
:Files
C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3954
C:\Documents and Settings\Ola\AppData\LocalLow\Microńoft
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Zalogowanie ma nastąpić na właściwe konto.

 

2. Przez Panel sterowania odinstaluj adware Babylon toolbar, MediaBar, Facemoods Toolbar, SFT_Polska Toolbar, Softonic toolbar on IE and Chrome, Softonic-Polska Toolbar, SweetIM / SweetPacks Toolbar for Internet Explorer 4.5, Yontoo 1.10.02.

 

3. Uruchom AdwCleaner i zastosuj opcję Delete. Wynikowo powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Edytowane 15 Sierpnia 2012 przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso