Komputer zostal zablokowany/Ukash

[b2squall]

Program SpyBot SD znalazl Babylon toolbar, ale nie dal rady go usunac.

 

System Windows 7 (64 bit)

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
IE - HKLM\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}"
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\.DEFAULT\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found
IE - HKU\.DEFAULT\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}"
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found
IE - HKU\S-1-5-18\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}"
IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt"
IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found
IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112465&babsrc=SP_ss&mntrId=0e719ae20000000000009439e59a7daa"
IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{3B8944E7-548A-4EA9-A801-F4B81BBFE559}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=C43554A5-F6DD-4088-B133-AEE3F5E72234&apn_sauid=37B6B259-B093-4437-A0C9-D7B84641F88C"
IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&n=77ed4e0c&ind=2012040716&id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&searchfor="
[2012-07-17 20:24:10 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-07-09 13:28:26 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10}
[2012-05-04 22:34:35 | 000,000,000 | ---D | M] (wxDfast) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\4fa25cf5a209c@4fa25cf5a209e.info
[2012-04-23 20:50:09 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\DTToolbar@toolbarnet.com
[2012-04-21 10:29:06 | 000,002,580 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\askcom.xml
[2012-04-07 16:30:43 | 000,009,629 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\my-web-search.xml
[2012-07-09 18:56:18 | 000,002,357 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\winamp-web-search.xml
[2012-05-04 22:34:08 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-05-11 21:54:24 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe ()
O4 - HKU\S-1-5-21-1585807109-1008327007-670633938-1000..\Run: [Microsoft Windows Manager] C:\Users\Vaio\M-10-6897-8685-3464\winmgr.exe ()
 
:Files
C:\Users\Vaio\AppData\Roaming\hellomoto
C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094
C:\Users\Vaio\M-10-6897-8685-3464
C:\Users\Vaio\M-10-8754-86589-55555
attrib -r -s -h C:\Windows\system32\drivers\etc\hosts /C
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1585807109-1008327007-670633938-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / GamingWonderland Toolbar / uTorrentControl2 Toolbar / Winamp Toolbar / wxDownload Fast 0.6.0

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj wxDfast

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[b2squall]

Toolbar'y odinstalowane.

OTL.Txt

[Landuss]

Jeszcze poprawki wykonasz, bo nie wszystko zeszło jak trzeba.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=090812_bab_3212_5&babsrc=SP_ss&mntrId=0e719ae20000000000009439e59a7da9"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQGWjyLKy&i=26"
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
[2012-08-18 17:19:59 | 000,002,203 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\MyStart Search.xml
[2012-08-10 19:14:23 | 000,002,360 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2:64bit: - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe File not found
O4:64bit: - HKLM..\Run: [TabbtnEx] C:\Users\dupsko\AppData\Local\Microsoft\Windows\1865\TabbtnEx.exe File not found
[2012-08-18 17:20:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Incredibar.com
[2012-08-18 17:20:04 | 000,000,000 | ---D | C] -- C:\Program Files\Web Assistant
[2012-08-10 19:13:42 | 000,000,000 | ---D | C] -- C:\Users\Vaio\AppData\Roaming\Babylon
[2012-08-10 19:13:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
 
:Files
C:\Users\dupsko\AppData\Local\Microsoft\Windows\1865
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Babylon na Google, po tym Babylon usuń z listy. Ustaw też domyślna stronę startową na pustą zamiast Babylon.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

[b2squall]

2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Babylon na Google, po tym Babylon usuń z listy. Ustaw też domyślna stronę startową na pustą zamiast Babylon.

 

W Rozszerzeniach Google Chrome byl tylko AVG search, postanowilem usunac Chrome'a calkowicie.

OTLIII.Txt

[Landuss]

Możesz przejść do zakończenia operacji:

 

1. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\system32\drivers\etc\hosts

 

Klik w Unlock. Po tym Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

2. Wklej do OTL skrypt poprawkowy o takiej treści:

 

:OTL

O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.6.7.4\SoftonicTlbr.dll (Softonic.com)
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.

 

Kliknij w Wykonaj skrypt. Restartu nie będzie, logów żadnych nie pokazujesz. Odinstaluj Softonic Toolbar.

 

3. Użyj opcji Sprzątanie z OTL oraz usuń ten folder "Google" po Chrome - C:\Users\Vaio\AppData\Local\Google

 

4. Opróżnij przywracanie systemu: KLIK

 

5. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI

 

Szczegóły aktualizacyjne: KLIK

 

6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Edytowane 20 Sierpnia 2012 przez picasso
Dodany reset pliku HOSTS i deinstalacja Softonic. //picasso