Ukash "policyjna" blokada

[RadekByd]

Witam, nie ja pierwszy i zapewne nie ostatni padłem ofiarą wirusa, który kompletnie zablokował mój komputer. Chodzi o wirus "Ukash", który żąda 500 zł za możliwość odblokowania komputera.

 

Dokonałem skanu OTL. Czekam na dalsze instrukcje. Z góry dziękuję za pomoc.

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\nvcap.sys -- (nvcap)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341425543_288888
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341425543_288888
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=885324a2-783e-11e1-b594-000fea5612d9&q={searchTerms}"
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341425543_288888
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341425543_288888
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=c4abd66a000000000000000fea5612d9"
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=885324a2-783e-11e1-b594-000fea5612d9&q={searchTerms}"
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{C8E9DFC1-3432-4D59-B912-125CBA0925CB}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
[2012-02-05 15:42:05 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-10-06 13:50:17 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2012-02-25 23:27:43 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src
[2012-07-04 20:32:58 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-1292428093-1993962763-682003330-1009..\Run: [ytjiikefhwallir] C:\Documents and Settings\All Users\Dane aplikacji\ytjiikef.exe ()
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\rodaqlwrhhhesek
C:\Documents and Settings\All Users\Dane aplikacji\mkzfzaumfyyxhxy
C:\Documents and Settings\Radek\0.4061751658650049.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-1292428093-1993962763-682003330-1009\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: BFlix / Conduit Engine / Facemoods Toolbar / V9 HomeTool / vShare.tv plugin 1.3

 

Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / uTorrentBar Community Toolbar / ST-Polska Community Toolbar / Babylon / Facemoods / Bflix / toolplugin / vShare.tv

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[RadekByd]

Wykonane.

OTL2.Txt

[Landuss]

Infekcja usunięta. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[RadekByd]

Dzięki za pomoc. Do zamknięcia.

[RadekByd]

Witajcie,

 

Nie minął tydzień odkąd dzięki Wam poradziłem sobie z tym cholerstwem, jak napatoczyło się po raz drugi. Dziwi mnie to, szczególnie, że kompa używałem mało, a na dodatek skanowałem go codziennie avastem... No ale nic, zaatakował po raz kolejny tak i ja po raz kolejny proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Temat dołączam do poprzedniego. Ta sama infekcja nabyta w zbyt krótkim czasie. A co do "podbijania" to przeczytaj zasady jak są traktowane takie rzeczy: KLIK.

 

 

Nie minął tydzień odkąd dzięki Wam poradziłem sobie z tym cholerstwem, jak napatoczyło się po raz drugi. Dziwi mnie to, szczególnie, że kompa używałem mało, a na dodatek skanowałem go codziennie avastem...

 

Nie wykonałeś wcale końcowych istotnych zabezpieczeń. Dostałeś instrukcje aktualizacji m.in. Java. Nie zrobiłeś tego, nadal widzimy w logu te same wersje co poprzednio. Dziurawa Java to jedna z dróg nabycia infekcji.

 

Tak poza tym to usuwanie w kółko tego samego. Tak niedawno odinstalowany adware śmieć od uTorrent znów w pełni zainstalowany. Przy instalacji / aktualizacji klienta torrent należy odznaczać instalację sponsora.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-1292428093-1993962763-682003330-1009..\Run: [ytjiikefhwallir] C:\Documents and Settings\All Users\Dane aplikacji\ytjiikef.exe (Hyundai)
O4 - Startup: C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\Sid Registration.lnk =  File not found
IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\rodaqlwrhhhesek
C:\Documents and Settings\All Users\Dane aplikacji\mkzfzaumfyyxhxy
C:\Documents and Settings\Radek\0.16084140745216746.exe
C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\promo.exe
C:\Documents and Settings\All Users\Dane aplikacji\oB42900GiIhA42900
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\Radek\Dane aplikacji\toolplugin
C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\62u616uz.default\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\62u616uz.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\62u616uz.default\extensions\ffxtlbr@babylon.com
C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\62u616uz.default\extensions\welcome@toolmin.com
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Odinstaluj adware uTorrentControl_v2 Toolbar, V9 HomeTool.

 

3. Otwórz Google Chrome i w ustawieniach zmień stronę startową oraz w zarządzaniu wyszukiwarkami przestaw domyślną z bieżącego Conduit na cokolwiek innego, po tym usuń Conduit z listy. Poza tym, jest resztka wtyczki vShare w konfiguracji:

 

CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Jej wycięcie wymaga edycji pliku Preferences Google Chrome na wzorze z punktu 3: KLIK. Tylko trzeba wziąźć poprawkę na inną ścieżkę dostępu na XP:

 

C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

4. Uruchom AdwCleaner i zastosuj Delete. Pojawi się log na dysku C.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

[RadekByd]

Wykonałem prawie wszystkie zadania, oprócz usunięcia resztek vShare. Nie mam kompletnie pojęcie, gdzie powinienem wkleić polecenie %localappdata%\Google\Chrome\User Data\Default ;/

 

 

Co do reszty, to poniżej wklejam logi

AdwCleanerS2.txt

OTL2.Txt

[picasso]

Nie mam kompletnie pojęcie, gdzie powinienem wkleić polecenie %localappdata%\Google\Chrome\User Data\Default ;/

 

Ale ja powiedziałam:

 

Tylko trzeba wziąźć poprawkę na inną ścieżkę dostępu na XP:

 

C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default

 

Masz podaną tu gotową ścieżkę. Otwierasz Mój komputer, w pasku adresów ją wklejasz i ENTER. I dalej jak we wzorze.

 

 

.

[RadekByd]

Zrobione.

[picasso]

Na zakończenie:

 

1. W Google Chrome nadal jest widoczna strona startowa Conduit. Czy jest jakiś problem z jej wymazaniem z listy stron startowych?

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu.

 

4. Wspominane aktualizacje. Cytuję co nadal widać na liście zainstalowanych, a co musi być poprawione:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

I mam nadzieję, że po raz trzeci nie spotkamy się przy tej samej infekcji ...

 

.

 

 

[RadekByd]

1. To dziwne, ponieważ po wejściu w Ustawienie Google Chrome Conduit nie znajduje się już na liście.

[picasso]

Na pewno mówimy o stronie startowej a nie wyszukiwarkach? Czyli: Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > Wybierz strony.

[RadekByd]

O tym właśnie mówimy.

 

BTW. Czy mogłabyś polecić jakiś dobry, darmowy program antywirusowy? Bo o avaście, jak czytam, dobrych opinii niewiele.

[picasso]

O tym właśnie mówimy.

 

W ostatnim logu OTL były dwie linie:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.conduit.com/?ctid=CT3220468&SearchSource=48"

 

Dla świętego spokoju zrób na własny użytek nowy skan z OTL i popatrz czy te linie nadal widnieją.

 

 

BTW. Czy mogłabyś polecić jakiś dobry, darmowy program antywirusowy? Bo o avaście, jak czytam, dobrych opinii niewiele.

 

Gdzie te opinie o Avaście? Z jakich źródeł korzystałeś (innych niż komentarze na portalach)? To jest dobry darmowy antywirus, ma rozbudowane funkcje.

 

 

 

.