Komputer zablokowany, UKASH

[mat]

Witam,

na moim komputerze również pojawił się wirus blokujący praktycznie wszystkie akcje a mianowicie tzw. ucash. Z relacji osoby która była przy komputerze w momencie jego pojawienia się wynika że miało to miejsce podczas przeglądania jakiś blogów nt. mody, w momencie wczytywania się zdjęcia wyświetlił się komunikat o konieczności zapłaty grzywny i od tego momentu komputer działa tylko w trybie awaryjny.

Niestety przed wykonaniem logów w otl został użyty combofix (zasugerowałem się tym artykułem który pojawił się jako jeden z pierwszych wyników w google tech.wp.pl/martykul.html?kat=1009779&wid=14737749&ticaid=1ed3e) z którego log również zamieszczam.

Bardzo proszę o pomoc!

ComboFix.txt

Extras.Txt

OTL.Txt

[picasso]

Dla jasności: to nie jest wirus, brak replikacji w plikach.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1710393817-1163594516-1520260726-1003..\Run: [TSTheme] C:\Users\dom\AppData\Local\Microsoft\Windows\3952\TSTheme.exe ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-1710393817-1163594516-1520260726-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=7AB1D26B-F977-4C2B-B39B-597AC9F326C8&apn_sauid=7364526D-E077-4EC3-82F2-D135C2A93562&"
IE - HKU\S-1-5-21-1710393817-1163594516-1520260726-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\dom\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VMC302.sys -- (VMC302)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwavdt.sys -- (btwavdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
 
:Files
C:\Users\dom\AppData\Local\Microsoft\Windows\3952
C:\Users\dom\AppData\Roaming\hellomoto
C:\Users\dom\AppData\Roaming\OpenCandy
C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\np67w0xo.default\searchplugins\askcom.xml
C:\Program Files\Common Files\ApnToolbarInstaller.exe
C:\Program Files\Common Files\ApnStub.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Kolejny krok to usunięcie wtrętów adware:

- Otwórz Google Chrome, w Opcjach przestaw stronę startową z v9 na coś innego, następnie w zarządzaniu wyszukiwarkami przestaw domyślną z v9 na coś innego, po czym v9 skasuj z listy.

- Otwórz Firefox, w opcjach przestaw stronę startową z v9 + w rozszerzeniach odinstaluj adware uTorrentBar Community Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[mat]

Dzięki wielkie a szybką pomoc! Dopiero teraz przeczytałem inne tematy na forum i widzę, że to jakaś plaga.

Dotacja oczywiście leci

AdwCleanerS1.txt

OTL.Txt

otl po usunieciu.txt

[picasso]

Zadania wykonane. Przejdź do tej porcji czynności:

 

1. W Google Chrome nadal widać stronę startową adware v9:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.v9.com/idg/idg_1327446450_178719"

 

Czy jest tu jakiś problem z konfiguracją w opcjach?

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\dom\Desktop\ComboFix.exe /uninstall

 

3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych do czego zmierzam:

 

Internet Explorer (Version = 7.0.6002.18005)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 ----> brak pakietu SP1
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX (wtyczka dla IE) ----> odinstaluj
 
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1710393817-1163594516-1520260726-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

 

Dotacja oczywiście leci

 

Dziękuję.

 

 

 

.

Edytowane 21 Sierpnia 2012 przez picasso
21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso