Zablokowany komputer UKASH

[kotlet68]

Witam, padłem ofiarą ukasha.

Chcę się pozbyć tego dziadostwa, czytałem na forum że na każdym komputerze są inne skrypty więc wklejam logi z OTL i czekam na waszą pomoc

http://www.wklejto.pl/129288

http://www.wklejto.pl/129289

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKLM\..\SearchScopes\{ef80d754-fb77-4a7f-be75-489beebb20c9}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&ind=2012060802&n=77ed9c82&psa=&st=sb&searchfor={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr"
IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKCU\..\SearchScopes\{B78A0577-4951-4F1F-9A80-CB93D66FB08C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=HIP&o=102876&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=6G&apn_dtid=YYYYYYYYGR&apn_uid=e2837b08-7fa9-4919-bada-74ad27f485b9&apn_sauid=EC2BC6E1-9480-43C6-B076-07074A10EFB6"
IE - HKCU\..\SearchScopes\{ef80d754-fb77-4a7f-be75-489beebb20c9}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&ind=2012060802&n=77ed9c82&psa=&st=sb&searchfor={searchTerms}"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "My Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP"
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor="
[2012-05-04 21:42:51 | 000,002,325 | ---- | M] () -- C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\dqqf7kjv.default\searchplugins\askcom.xml
[2012-06-03 15:43:38 | 000,009,645 | ---- | M] () -- C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\dqqf7kjv.default\searchplugins\my-web-search.xml
[2012-06-18 09:05:56 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml
[2010-12-13 15:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
O4 - HKLM..\Run: []  File not found
 
:Files
C:\ProgramData\mrwraxse.exe
C:\ProgramData\heqzioamtcnwnek
C:\ProgramData\kwmqxtyrlpsxmbs
C:\Users\home\0.6921540093600975.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mrwraxsethutgep"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mrwraxsethutgep"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / facemoods / Retrogamer toolbar

 

Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / Retrogamer / Facemoods / Ask Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Ask Toolbar / uTorrentBar / Facemoods

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[kotlet68]

Wielkie dzięki mistrzu, jakbym mógł Ci pomóc w czymś to pisz

Tu masz loga

http://www.wklejto.pl/129312

[Landuss]

A Retrogamer Toolbar nadal widzę w logu jako nieusunięty. Poza tym wszystko gra. Przejdź do finalizacji tematu:

 

1. Wklej do OTL skrypt poprawkowy:

 

:OTL
IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found
FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP"
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor="
[2012-02-06 13:44:34 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

 

Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz IE do najnowszej wersji 9:

 

Professional (Version = 6.1.7600) - Type = NTWorkstation

 

Internet Explorer (Version = 8.0.7600.16385)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[kotlet68]

Witam, padłem ofiara UKASHA, załanczam logi z OTL

http://www.wklejto.pl/129788

http://www.wklejto.pl/129789

[Landuss]

Temat został dolepiony do twojego poprzedniego. I log pokazuje, że całkowicie zignorowałeś poprzednie moje zalecenia, brak wykonanych aktualizacji i dodatkowego skryptu do OTL to nie dziw się, że znów łapiesz infekcję. Jeśli nie wykonasz aktualizacji i wrócisz tu po raz kolejny pomocy nie udzielę.

 

Tym razem masz inną wersję tej infekcji.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found
FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP"
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor="
[2012-02-06 13:44:34 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
 
:Files
C:\ProgramData\piz_0ef.pad
C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[kotlet68]

Tu masz nowy log http://www.wklejto.pl/129817

tym razem zrobie wszystko jak mówisz, nie pamiętam dlaczego tego nie zrobiłem za pierwszym razem.

Dzięki i przepraszam.

[Landuss]

Jest w porządku tylko ten plik usuń jeszcze: C:\ProgramData\go_0molg.pad

 

Tak jak poprzednio uzyj Sprzątanie OTL i wyzeruj przywracanie systemu. No i te aktualizacje...