Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer został zablokowany Ukash

Xellos77

Przez Xellos77
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Są tu aż dwa warianty tej infekcji. Plus adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "http://www.mail.ru/"
FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://go.mail.ru/search?utf8in=1&fr=fftbUFix&q="
FF - prefs.js..extensions.enabledItems: {37964A3C-4EE8-47b1-8321-34DE2C39BA4D}:2.5.2.32
IE - HKLM\..\SearchScopes\{DF302538-CE59-40D6-99E4-D6475B04C72C}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: [vsjitdebugger] C:\Users\Mateo7786\AppData\Local\Microsoft\Windows\4441\vsjitdebugger.exe ()
O4 - HKCU..\Run: [bOS] C:\BOS\bos.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] -- C:\Windows\reset.exe /s -- (.EsetTrialReset) 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\vista.sys -- (vista)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MATEO7~1\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - [2012-04-27 17:01:35 | 000,149,272 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\Windows\System32\drivers\dwprot.sys -- (DwProt)
 
:Files
C:\BOS
C:\Users\Mateo7786\AppData\Local\Microsoft\Windows\4441
C:\Users\Mateo7786\AppData\Roaming\hellomoto
C:\Users\Mateo7786\AppData\Local\Temp*.html
C:\Users\Mateo7786\AppData\Roaming\Mozilla\Firefox\Profiles\uz8swwbt.default\searchplugins\mailru---.xml
C:\Users\Mateo7786\AppData\Roaming\Mozilla\Firefox\Profiles\uz8swwbt.default\searchplugins\startsear.xml
C:\Users\Mateo7786\AppData\Roaming\Mozilla\Firefox\Profiles\uz8swwbt.default\searchplugins\yahoo-zugo.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{E7FA59C2-6A2C-4606-ABED-6CCA195B945A}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{C80A1622-610D-4296-89E4-D12DE50CA2FD}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj nośnik adware vShare.tv plugin 1.3 oraz przestarzały Skaner on-line mks_vir. Otwórz Google Chrome i wejdź do Opcji. Zmień stronę startową, w zarządzaniu wyszukiwarkami przestaw domyślną z Mail.Ru na coś innego np. Google, po tym usuń Mail.Ru z listy. W Rozszerzeniach odmontuj nośnik adware vShare.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...