Wirus Ukash

[womis]

Witam! Ja także spotkałem się z problemem wyskakującego okna zaraz po starcie systemu, nakazującego uiszczenie opłaty za możliwość odblokowania komputera. Wrzucam potrzebne logi i liczę na pomoc.

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS -- (SYMREDRV)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS -- (SYMNDISV)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMFW.SYS -- (SYMFW)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS -- (SYMDNS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Mati2\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}"
IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=101702"
IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale="
IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=RxFBnp4JGFGibaTTEl_Zl1Ccwxs?q={searchTerms}"
IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}&q={searchTerms}&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-07-06 11:51:20 | 000,002,427 | ---- | M] () -- C:\Users\Mati2\AppData\Roaming\Mozilla\Firefox\Profiles\1tzj95av.default\searchplugins\askcom.xml
[2010-02-07 18:05:37 | 000,001,201 | ---- | M] () -- C:\Users\Mati2\AppData\Roaming\Mozilla\Firefox\Profiles\1tzj95av.default\searchplugins\winamp-search.xml
[2010-12-22 11:01:58 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKLM..\Run: [sxstrace] C:\Users\Mati2\AppData\Local\Microsoft\Windows\4572\sxstrace.exe ()
 
:Files
C:\Users\Mati2\AppData\Roaming\hellomoto
C:\Users\Mati2\AppData\Local\Microsoft\Windows\4572
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Internet Explorer Toolbar 4.6 by SweetPacks / Winamp Toolbar

 

Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[womis]

Dziękuję za pomoc. Zamieszczam nowe logi.

OTL.Txt

[Landuss]

Infekcje masz usuniętą. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32

"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.