Wirus Ukash

[mlo9DY]

Witam serdecznie, mam problem z komputerem mianowicie na starcie pojawia sie strona informujaca mnie o tym ze zlamalem zasady prawa auktorskiego itd kazdy wie o co chodzi. Proszę o pomoc jesli to mozliwe.

Z góry dziekuje i pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

Notowana próba używania ComboFix. Na przyszłość: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111111174657769&tb_oid=11-11-2011&tb_mrud=11-11-2011"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&mntrId=7089e5e8000000000000dca971179535"
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20111111174657769&tb_oid=11-11-2011&tb_mrud=11-11-2011"
IE - HKCU\..\SearchScopes\{FFAFDD10-9C50-433B-9B37-D72D1E370932}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc="
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4:64bit: - HKLM..\Run: [WSDPrintProxy] C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\313\WSDPrintProxy.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\313
C:\Users\Krzysiek\AppData\Roaming\hellomoto
C:\windows\SysNative\鮐Á
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\system32\drivers\etc\hosts

 

Klik w Unlock. Po tym zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

3. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Download Updater (AOL LLC), FoxTab Music Converter, Softonic toolbar on IE and Chrome, V9 Homepage Uninstaller, Winamp Toolbar, Windows Searchqu Toolbar.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4.

 

 

 

.

[mlo9DY]

Po pierwsze bardzo serdecznie dziekuje za poswiecony mi czas:) Wydaje sie ze wszystko jest ok albo zmierza w dobrym kierunku;)

 

Załaczam pliki podane w punkcie 5 z tym ze nie wiem czy to wszystko o co prosilas?

Dziekuje!

AdwCleanerS1.txt

FSS.txt

OTL.Txt

[picasso]

Wszystko wykonane. Poprawki na małe odpadki + finalizacja:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - !{91da5e8a-3318-4f8c-b67e-5964de3ab546} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{91da5e8a-3318-4f8c-b67e-5964de3ab546} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012/07/26 16:43:06 | 000,001,401 | RHS- | M] () -- C:\windows\SysNative\drivers\etc\hosts.old

 

Klik w Wykonaj skrypt. Tym razem już bez restartu to pójdzie.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\windows\erdnt.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Na wszelki wypadek zrób skanowanie w Malwarebytes Anti-Malware.

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso