Wirus UKASH - "Komputer zablokowany z powodu naruszenia prawa polskiego"

[bskrol]

Witam,

Prosze o pomoc w usunięciu wirusa UKASH blokującego komputer.

Z góry dziękuję.

OTL.Txt

Extras.Txt

[Landuss]

Uwaga na początek - logi wykonane z nieprawidłowego konta. To są logi z konta Administrator wbudowanego w system i właśnie to konto aktywowałeś teraz logując się na nie:

 

 Computer Name: 839D0313ADD44FC | User Name: Administrator | Logged in as Administrator.

 

Usuwam tylko to co widać jako wspólne dla wszystkich kont.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Martynka\USTAWI~1\Temp\catchme.sys -- (catchme)
O4 - HKLM..\Run: [WcsPlugInService] C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2637\WcsPlugInService.exe File not found
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe ()
 
:Files
C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\hellomoto
C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2637
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL wykonane z prawidłowego konta.

[bskrol]

Zamieszczam logi po wykonaniu instrukcji.

OTL.Txt

[Landuss]

Wykonaj jeszcze jeden skrypt o takiej zawartości:

 

:OTL
IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US
IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}: "URL" = http: //search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field
IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1269415
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
[2012-06-01 18:49:53 | 000,000,000 | ---D | M] (Download Energy Community Toolbar) -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\extensions\{ad708c09-d51b-45b3-9d28-4eba2681febf}
[2010-02-09 20:50:45 | 000,002,257 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\askcom.xml
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\BearShareWebSearch.xml
[2011-01-17 19:40:58 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\conduit.xml
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (Shareaza Web Download Hook) - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\BearShare MP3\RazaWebHook.dll File not found
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - C:\WINDOWS\System32\mdhcp32.dll ()
[2012-07-08 12:14:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Martynka\Dane aplikacji\hellomoto
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klikasz w Wykonaj skrypt. Wykonujesz nowy log ze skanowania i wstawiasz na forum.

[bskrol]

Logi po wykonaniu drugiego skryptu

OTL.Txt

Edytowane 13 Lipca 2012 przez picasso
Logi Extras po raz któryś już zbędne. Usuwam. //picasso

[Landuss]

Teraz wykonane jak trzeba. Przejdź do finalizacji tematu:

 

1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Martynka\Pulpit\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32

"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bskrol]

Bardzo dziękuje za pomoc.