Zablokowany komputer wirusem Ukash

[Sylwusia869]

Witam serdecznie, jestem kolejna osobą która padła ofiarą wirusa Ukash. Bardzo proszę o pomoc w pozbyciu się tego. Będę bardzo wdzięczna. Poniżej załączam logi:

OTL.Txt

Extras.Txt

[picasso]

Jest tu również ogłuszająca ilość adware ... ponadto widoczne ślady starszych infekcji (w tym coś co wygląda na pochodną ZeroAccess).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4:64bit: - HKLM..\Run: [smiEngine] C:\Users\ASUS\AppData\Local\Microsoft\Windows\1380\SmiEngine.exe ()
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" File not found
O4 - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\chomikbox.exe File not found
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O3 - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found
IE - HKLM\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - SOFTWARE\Classes\CLSID\{707db484-2428-402d-afb5-d85b387544c7}\InprocServer32 File not found
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=564d8e09000000000000000000000000"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{47DBFA56-E51C-4D14-8171-66FA1FC56063}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://search.ChatVibes.com/?q={searchTerms}"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92259999040484863"
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=564d8e09000000000000001e101f7fb6&tlver=1.4.35.10&affID=101240&babsrc=SP_FFUP"
 
:Files
C:\Users\ASUS\AppData\Local\Microsoft\Windows\1380
C:\Users\ASUS\AppData\Local\fcfcfadc
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\fcfcfadc
C:\Windows\System32\config\systemprofile\AppData\Local\fcfcfadc
C:\Users\ASUS\winlogon.exe
C:\Users\ASUS\uidsave.dat
C:\Users\ASUS\AppData\Local\promo.exe
C:\Users\ASUS\AppData\Roaming\hellomoto
C:\Users\ASUS\AppData\Roaming\Pyvoir
C:\Users\ASUS\AppData\Roaming\Yfewi
C:\Users\ASUS\AppData\Roaming\Babylon
C:\Users\ASUS\AppData\Roaming\OpenCandy
C:\Users\ASUS\AppData\Roaming\Mozilla\Firefox\Profiles\2ocqqcm3.default\searchplugins\funmoods.xml
C:\Users\ASUS\AppData\Roaming\Mozilla\Firefox\Profiles\2ocqqcm3.default\searchplugins\MyStart Search.xml
C:\Users\ASUS\AppData\Roaming\Mozilla\Firefox\Profiles\2ocqqcm3.default\searchplugins\search.xml
C:\Users\ASUS\AppData\Roaming\Mozilla\Firefox\Profiles\2ocqqcm3.default\searchplugins\SweetIM Search.xml
C:\Users\ASUS\AppData\Roaming\Mozilla\Firefox\Profiles\2ocqqcm3.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\photopostb.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Masowe deinstalacje adware:

• Przez Panel sterowania odinstaluj: Babylon toolbar on IE, BFlix, ChatVibes Toolbar, DealPly, DVDVideoSoftTB Toolbar, IncrediMail MediaBar 2 Toolbar, kikin plugin, Mario_Forever Toolbar, MediaBar, Photopos Toolbar, SFT_Polska Toolbar, SweetIM / SweetIM Toolbar for Internet Explorer 4.1, V9 HomeTool. Przy okazji odinstaluj i zbędny Akamai NetSession Interface.
  
• Otwórz Firefox, wejdź do Dodatków i odinstaluj: DealPly, Funmoods.com, kikin plugin, IncrediMail MediaBar 2 Community Toolbar, MediaBar, Photopos Toolbar, SFT_Polska Community Toolbar
  
• Otwórz Google Chrome i wejdź do Opcji, a tam w Rozszerzeniach odmontuj: DealPly
  

3. Uruchom AdwCleaner i zastosuj opcję Delete. Wynikowo powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Sylwusia869]

Dziękuję za odpowiedz. Jak tylko przyjdę do domu to zaraz się wezmę za to.

[Sylwusia869]

Pomogło.W kolejnosci log zaraz po usunieciu, log z AdwCleaner i log końcowy.

log.txt

AdwCleanerS1.txt

OTL2.Txt

[picasso]

Kolejna porcja zadań:

 

1. Deinstalacje: nie wygląda na to, że odinstalowałaś MediaBar (zbyt dużo wpisów kompletnych w logu) oraz Akamai NetSession Interface. I jakoś ominęłam to wcześniej, do wyrzucenia także Przyśpiesz Komputer.

 

2. Otwórz Google Chrome, wejdź do Opcji i w zarządzaniu wyszukiwarkami ustaw jako domyślną np. Google, bo aktualnie nic nie jest przypisane.

 

3. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found.
O3 - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003\..\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found.
O2 - BHO: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found.
[2011/12/16 09:33:40 | 000,148,137 | ---- | M] () (No name found) -- C:\USERS\ASUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2OCQQCM3.DEFAULT\EXTENSIONS\{239CC760-75A9-4276-B1FC-C0CEB963F373}.XPI
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Sylwusia869]

Wszystko zrobiłam. MediaBaru w panelu sterowania-programy nie znalazłam ale folder o tym tytule był w programach plików(x86) na dysku C więc go usunęłam. Logi kolejno: wyniki usuwania, log z punktu 4.

 

Bardzo dziękuję za dotychczasową pomoc.To już wszystko czy jeszcze mam coś zrobić?

wyniki usuwania.txt

OTL3.txt

[picasso]

Sylwusia869, w zasadach działu jest napisane (KLIK), by nie pisać posta pod postem. Chcesz o coś zapytać lub uzupełnić informacje, a nikt jeszcze nie odpisał, stosuj opcję Edytuj. Posty pożyżej sklejam. Nie, to nie koniec, gdyż m.in.

 

 

MediaBaru w panelu sterowania-programy nie znalazłam ale folder o tym tytule był w programach plików(x86) na dysku C więc go usunęłam.

 

To nie usuwa wpisów z rejestru i trzeba doczyścić jeszcze po tym. Kolejna porcja zadań:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2:64bit: - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\IEBHO.dll File not found
O4 - HKU\S-1-5-21-2244389585-4154747760-3842202484-1003..\Run: [Akamai NetSession Interface] "C:\Users\ASUS\AppData\Local\Akamai\netsession_win.exe" File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll) -  File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\datamngr.dll) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) -  File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

5. Są tu zainstalowane dwa antywirusy, co może tworzyć konflikt: Trend Micro Internet Security + Microsoft Security Essentials. Jeden z nich do deinstalacji.

 

6. Wykonaj aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych dowód braku aktualizacji Windows (SP1+IE9) oraz widoczne wersje:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak pakietu SP1
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ----> wtyczka dla Firefox w wesji 11.3.300.262
"Google Chrome" = Google Chrome ----> wersja 20.0.1132.47
"Opera 11.62.1347" = Opera 11.62

 

PS. Poczytaj o alternatywach dla Gadu-Gadu 10 Opisy programów w artykule Darmowe komunikatory. Pod uwagę programy: AQQ, Kadu, WTW, Miranda.

 

.

[Sylwusia869]

Zrobiłam wszystko. Malwarebytes Anti-Malware wykrył coś ponad 10 obiektów więc załączam raport.

mbam-log-2012-07-13 (17-27-57).txt

[picasso]

Instalator Office to fałszywy alarm, przypuszczam że wynik z "Encyklopedia Wynalazków 2009" też. Natomiast reszta wyników to albo adware / nośnik adware, albo malware. Usunięte, więc OK. Przez SHIFT+DEL dokasuj cały folder C:\Windows\ufa (utworzony przez malware).

 

Wszystko rozwiązane. Daj sygnał do zamknięcia tematu.

 

 

 

.

[Sylwusia869]

Bardzo jestem wdzięczna za pomoc, bardzo profesjonalna. Sama nigdy bym sobie z tym nie poradziła. Myślę że ten temat można już zamknąć.