"Komputer został zablokowany..." czyli znowu nieszczęsny wirus Ukash

[tolenio13]

Witam, widziałem już dużo wpisów na ten temat i pewnie jest on już nudny, ale mi nie znudzi się dopóki go nie zlikwiduje, widziałem że fachowa pomoc na tym forum to rzecz normalna, proszę również o takową. A więc podaje logi.

OTL.Txt

Extras.Txt

[picasso]

Stosowany skrypt do OTL = nie wolno sobie brać z cudzych tematów, skrypt jest stworzony tylko pod jeden system i nie działa na innym, a w szczególnym przypadku można sobie coś uszkodzić (!). Następnie, uruchamiany ComboFix, a co my na temat (i zasady działu mówią, by pokazać co robił): KLIK.

 

 

System jest też potwornie zaśmiecony adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7B5aba5e7d-9ef3-4fee-815b-e8a1bb05d39d%7D&mid=f4fc5acefe3747d09fd981ac0f7119ec-a8fce5cacd5f7a9b0ce4a505afc408dde784e030&ds=yu011&v=11.1.0.12&lang=en&pr=sa&d=2012-07-07%2014%3A10%3A25&sap=ku&q="
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7dba4a5c-f698-11e0-9ff3-001d60a159f7&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7dba4a5c-f698-11e0-9ff3-001d60a159f7&q={searchTerms}"
IE - HKLM\..\SearchScopes\{E267BC69-3070-49BE-90F8-768356B0DE89}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7dba4a5c-f698-11e0-9ff3-001d60a159f7&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7dba4a5c-f698-11e0-9ff3-001d60a159f7&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{15FC327B-42B9-4787-9013-92F5740B864F}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{7BE6F2BD-0EA5-42B2-9431-31F079DFCB1D}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110021&babsrc=SP_ss&mntrId=f8c017e000000000000050e54995f01f"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={4AA30D5D-27E3-427A-B5F3-989D852A5546}&mid=f4fc5acefe3747d09fd981ac0f7119ec-a8fce5cacd5f7a9b0ce4a505afc408dde784e030&lang=en&ds=yu011&pr=sa&d=2012-07-07 14:10:25&v=11.1.0.12&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{ADBEEF54-B58E-49EF-B1F8-ABA490F2D242}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7dba4a5c-f698-11e0-9ff3-001d60a159f7&q={searchTerms}"
IE - HKU\S-1-5-21-515967899-1177238915-1801674531-1003\..\SearchScopes\{C54B14AF-202C-411E-B30F-8CE357E64B89}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
O2 - BHO: (extrafind) - {8feef751-fa3e-121f-b300-285a7df4fc62} - C:\WINDOWS\system32\b77d6696.dll File not found
O4 - HKLM..\Run: [winipsec] C:\Documents and Settings\QUO\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3827\winipsec.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudioService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
 
:Files
C:\Documents and Settings\QUO\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3827
C:\Documents and Settings\QUO\Dane aplikacji\hellomoto
C:\Documents and Settings\All Users\Dane aplikacji\529C54410000255F00011FB58DB91C90
C:\Documents and Settings\QUO\Dane aplikacji\Mozilla\Firefox\Profiles\hfbqm4pi.default\searchplugins\funmoods.xml
C:\Documents and Settings\QUO\Dane aplikacji\Mozilla\Firefox\Profiles\hfbqm4pi.default\searchplugins\startsear.xml
C:\Program Files\Mozilla Firefox\extensions\{1224d315-d34b-45e0-e765-3f803cb700b5}
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A4DFA78C-6FBC-42C2-967F-92B8EADB7503}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{A4DFA78C-6FBC-42C2-967F-92B8EADB7503}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware i zbędników:

• Przez Panel sterowania odinstaluj adware 2YourFace 1.0, Babylon toolbar on IE, Browsers Protector, Contextual Tool Extrafind, Funmoods on IE and Chrome, LiveVDO plugin 1.3, MyAshampoo Toolbar, StartSearch Toolbar 1.3, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, V9 HomeTool, Vid-Saver, Wincore MediaBar, x-plugin-0. Od razu także i te aplikacje: AVG Security Toolbar (prawdopodobnie weszło w charakterze "adware" przez nieuważną instalację), McAfee Security Scan Plus (prawdopodobnie przemycony jako sponsor paczki Adobe), NVIDIA ForceWare Network Access Manager (problematyczna zapora nVidia), EXPERTool 7.12 (sfatygowana aplikacja).
  
• Otwórz Firefox i w Dodatkach odmontuj: 2YourFace. Następnie wejdź w menu Pomoc > Informacje dla pomocy technicznej > Resetuj Firefox.
  
• Otwórz Google Chrome i w Rozszerzeniach odmontuj: 2YourFace, Funmoods, LiveVDO, StartSearch, Vid-Saver. Poza tym, zmień stronę startową oraz w zarządzaniu wyszukiwarkami przestaw domyślną z Search na coś innego (np. Google), po tym Search usuń z listy.
  

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[tolenio13]

dziękuję! ;*

AdwCleanerS1.txt

OTL2.txt

OTL3.Txt

[picasso]

Wszystko zrobione. Leć dalej:

 

1. W Google Chrome ostały się trzy wtyczki, podwójna StartSearch + 2YourFace Util:

 

========== Chrome  ==========
 
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Documents and Settings\QUO\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll
CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
CHR - plugin: 2YourFace Util (Enabled) = C:\Documents and Settings\QUO\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lmblfngognklgemafekefcdjcnkdhmdm\1.0_0\2YourFace_Util.dll

 

Ich wycięcie wymaga bezpośredniej edycji pliku Preferences Google Chrome. Dla porównania punkt 3 w tym temacie: KLIK. Tylko należy wziąźć poprawkę na inną ścieżkę na XP:

 

C:\Documents and Settings\QUO\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

Google Chrome musi być zamknięte podczas tej operacji.

 

2. Poprawka na pozostałe szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex)
O3 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - No CLSID value found.
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012-07-26 13:43:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\QUO\Dane aplikacji\xplugin
 
:Files
rd /s /q C:\WINDOWS\erdnt /C

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

Edytowane 26 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso