UKASH czyli standardowy temat w ostatnich dniach

[jaro0610]

Witam !!!

 

Nie rozpisując się mój komputer padł ofiarą ataku wirusa UKASH. Zgodnie z poradnikiem na forum które znalazłem wcześniej przeskanowałem PC programem HitmanPro. Co prawda teraz mogę włączyć normalnie system ale domyślam się że ślady infekcji pozostały. Poniżej moje logi. Z góry dziękuję za poświecono czas i pomoc.

Extras.Txt

OTL.Txt

[picasso]

Nie przedstawiłeś wyników skanu z HitmanPro. Skoro problem ustąpił, to dlaczego logi są z poziomu Trybu awaryjnego? W bieżącym logu widzę po infekcji cały folder C:\BOS oraz adware SearchYa.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\BOS
C:\Users\Jaro\AppData\Roaming\Mozilla\Firefox\Profiles\k4x16i8d.default\searchplugins\searchya.xml
 
:OTL
IE - HKCU\..\SearchScopes\{2FA6685D-C672-466B-B8B2-FB668C13F80F}: "URL" = "http://searchya.com/?chnl=dcom-100&s=1&cr=837630667&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyCtDyD&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "SearchYa!"
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.102.0: C:\Program Files (x86)\Battlelog Web Plugins\1.102.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.116.0: C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware SearchYa Toolbar on IE and Chrome. Otwórz Firefox i powtórz demontaż searchya.com. Otwórz Google Chrome i w Opcjach ustaw ludzką stronę startową.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) z poziomu Trybu normalnego. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[jaro0610]

Zrobiłem chyba wszystko. Log poniżej.

OTL.Txt

[picasso]

Nie dodałeś loga z wynikami usuwania OTL, lecz podarujemy to sobie (widoczne pozytywne zmiany w nowym skanie OTL). Przejdź do tej porcji zadań:

 

1. Czy na pewno odinstalowałeś adware także w Firefox? Nadal to widzę. Jeśli deinstalacja się odbyła, to przez SHIFT+DEL skasuj folder:

 

C:\Users\Jaro\AppData\Roaming\mozilla\Firefox\Profiles\k4x16i8d.default\extensions\ffxtlbr@searchya.com

 

Podobnie, w Google Chrome nadal jako strona startowa ten śmieć:

 

========== Chrome  ==========
 
CHR - homepage: "http://searchya.com/?chnl=dcom-100&s=0&cr=837630667&cd=2XzutAtN2Y1L1QzutN0D0TzutBtDtCtBtDyCtDyD"

 

Czy jest tu jakiś problem z przestawieniem tego w Opcjach?

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o które wersje mi chodzi:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak SP1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)

 

 

 

.

Edytowane 21 Sierpnia 2012 przez picasso
21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso