Wirus Ukash Prośba o skrypt OTL

[balabon]

Witam!

Załapany UKASH (i pewnie tona innego badziewia) w załączeniu raport i extras z OTL.

Prośba gorąca o skrypcik OTL.

Edytowane 18 Sierpnia 2012 przez picasso
Wadliwe załączniki usunięte. //picasso

[Landuss]

Logi źle wklejone. Sam sobie otwórz i zobacz jak to wygląda. Totalna sieczka... Popraw to wszystko abym mógł coś z tego odczytać.

[balabon]

Już drugi raz mam to samo z różnych kompów.. logi po utworzeniu nie otwierane żadnym innym programem, niż notatnik, tylko zapisane i przesłane do Was.. U mnie wyświetlają się prawidłowo (screen w załączeniu). Nie wiem czym jest to spowodowane. Załączam jeszcze raz, zapisane ponownie jako .txt . Mam nadzieję, że teraz będą z zachowaniem formatowania.

 

Jakiś czas temu wrzucałem do Was logi z innego kompa i było to samo z odczytem plików..

Mam 2 hipotezy co może niszczyć zapis txt na moich kompach:

1) kED - choć nie otwierałem nim tych plików i usunąłem skojarzenie *.txt -> kED

2) poczta na az.pl, która z automatu wrzuca podgląd plików i być może miesza przy zapisie załączników.. Tylko ona miała styczność z plikami od utworzenia do upload'u.

Extras.Txt

OTL.Txt

[Landuss]

Teraz pliki są lepsze ale nie do końca dobre bo sam widzisz, że jakieś pytajniki na końcu każdej linijki wyszły. I tak jest też na twojej miniaturze także to jakiś problem u Ciebie. Usuwam je tu gdzie potrzebuje, ale to jest dodatkowa robota.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=102866&gct=hp"
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=ca0b745e000000000000761a04f9baf5"
IE - HKCU\..\SearchScopes\{2DCFA9B9-8CE4-49C9-8B9B-81193A42273E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=53654989-0d5b-4df9-9139-f909baa94b1f&apn_sauid=011B58A4-C0B3-471B-8389-194E6E7CC882"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406"
FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&appid=102&systemid=406&sr=0&q="
[2011/11/15 15:19:18 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\jasiek\AppData\Roaming\mozilla\Firefox\Profiles\ewy7hkxs.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/07/05 17:10:33 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\jasiek\AppData\Roaming\mozilla\Firefox\Profiles\ewy7hkxs.default\extensions\DTToolbar@toolbarnet.com
[2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\jasiek\AppData\Roaming\Mozilla\Firefox\Profiles\ewy7hkxs.default\searchplugins\askcom.xml
[2011/03/12 09:12:43 | 000,002,059 | ---- | M] () -- C:\Users\jasiek\AppData\Roaming\Mozilla\Firefox\Profiles\ewy7hkxs.default\searchplugins\daemon-search.xml
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DealPly / uTorrentBar Toolbar / Winamp Toolbar / Searchqu Toolbar / DAEMON Tools Toolbar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[balabon]

Dzięki wielkie! Skrypt machnięty, śmieci odinstalowane. Jednak jest jeden problem. Na kompie są 2 konta z admina wywaliło UKasha, ale po zalogowaniu na 2 konto znowu wyskoczył.

W załączeniu raport OTL dla drugiego konta. (zapisałem sam jako txt i usunąłem te dziwne znaki końca linii (?), więc mam nadzieję, że będzie ok.

OTL.Txt

[Landuss]

Na pewno ci to wyskakuje nadal? Bo przyznam, że nie widzę żadnego składnika tej infekcji w logach...

[balabon]

hmm.. ten sam niebieski screen z tym samym tekstem i nic nie da się zrobić..ale tylko na 1 koncie, na adminie wszystko już o.k. Dzięki wielkie za pomoc.. najwyżej machnę format..

[Landuss]

Ale to jest bluescreen czy co? Bo nie bardzo rozumiem. Najlepiej pokaż screena.

[balabon]

Nie bluescreen, zwyczajny ekran ukasha z tym samym tekstem, że komputer zablokowany.. jak będę przy tym kompie, to wrzucę Ci screena..

Edytowane 4 Września 2012 przez picasso
4.09.2012 - Upłynął miesiąc, brak danych. Tematy zamykam.. //picasso