UKASH- Komputer został zablokowany

[materios]

Ja również mam problem z tym trojanem.

Jestem raczej laikiem wiec jeśli to możliwe to prosze o pomoc.

Przesyłam logi z OTLa

Pozdrawiam i z góry dziekuje za pomoc

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\.DEFAULT\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298"
IE - HKU\S-1-5-18\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298"
IE - HKU\S-1-5-21-1482476501-1284227242-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298"
IE - HKU\S-1-5-21-1482476501-1284227242-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
[2012-07-29 11:32:19 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-04-05 19:28:01 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\extensions\toolbar@ask.com
[2012-02-14 21:34:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\searchplugins\startsear.xml
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC)
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKU\.DEFAULT..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC)
O4 - HKU\S-1-5-18..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC)
F3 - HKU\.DEFAULT WinNT: Load - (C:\WINDOWS\Temp\{63781~1.EXE) - C:\WINDOWS\Temp\{63781269-4482-6714-9937-126904482367}.exe ()
F3 - HKU\S-1-5-18 WinNT: Load - (C:\WINDOWS\Temp\{63781~1.EXE) - C:\WINDOWS\Temp\{63781269-4482-6714-9937-126904482367}.exe ()
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
 
:Files
netsh firewall reset /C
C:\Program Files\Common Files\userInit.dll
C:\Documents and Settings\All Users\Dane aplikacji\ycpablks.exe
C:\Documents and Settings\All Users\Dane aplikacji\shkmtnyurmaddjs
C:\Documents and Settings\All Users\Dane aplikacji\vzgdmswzndjeyga
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1482476501-1284227242-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Burn4Free DB Toolbar / DAEMON Tools Toolbar / LiveVDO plugin 1.3 / uTorrentControl2 Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plugin

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[materios]

Nowy log

OTL.Txt

[Landuss]

Infekcja poprawnie usunięta. Sprawy wykończeniowe na koniec:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 6.0.2900.2180)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.2 CE

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.