ten komputer został zablokowany - ukash wirus

[patrykrazdwatrzy]

Witam, mam powszechny jak widzę problem z tym wirusem. Poniżej załączam plik z OTL ze skanu i proszę o jak najszybszą odpowiedź i pomoc. Nie za bardzo się w tym wszystkim odnajduję więc poproszę o spokojne wytłumaczenie mi co mam zrobić.

 

 

http://wklej.org/id/810799/ Oto plik tekstowy OTL

 

Czy jest potrzebne coś oprócz OTL?

 

Sorry, dopiero teraz zobaczyłem/przeczytałem to podpięte na górze, zaraz dam drugiego loga.

 

Nie wiem, czy to coś zmienia, ale próbowałem przywracać system sprzed dwóch dni, ale wystąpił błąd i nic to nie dało.

 

A i jeszcze tu jest z zaptaszkowanym pomiń pliki microsoftu:

 

http://wklej.org/id/810950/

[Landuss]

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=963c7588-fd93-11e0-acb3-6c626dfb082b&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{2EBE0508-A831-4400-AE91-33C9634AD488}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=C83C4011-3589-43C0-BB7D-968EE98FFCEB&apn_sauid=A7A83E20-3979-41CD-AFF6-C830C462874F"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541854595966569"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92541854595966569&search="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
[2012-07-15 21:04:56 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
[2011-11-14 22:50:21 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012-01-18 15:42:47 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\ffxtlbr@Facemoods.com
[2011-11-22 23:10:30 | 000,000,000 | ---D | M] (Sopcast Ask Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\toolbar@ask.com
[2011-05-17 14:12:44 | 000,002,333 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\askcom.xml
[2011-11-14 22:49:51 | 000,002,207 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\MyStart Search.xml
[2012-03-30 20:12:19 | 000,000,792 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\startsear.xml
[2012-02-21 14:54:58 | 000,003,915 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\SweetIM Search.xml
[2012-08-14 15:41:59 | 000,003,948 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\sweetim.xml
[2012-03-30 20:12:26 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{8f49753d-7011-04b7-ef97-2bc6fe5cc658}
[2012-01-18 15:42:48 | 000,002,047 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [sNTSearch] C:\Users\Ja\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe ()
 
:Files
C:\Users\Ja\AppData\Roaming\hellomoto
C:\Users\Ja\AppData\Local\Microsoft\Windows\1179
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DealPly / Conduit Engine / vShare tv PLugin / Sopcast Ask Toolbar / IncrediMail MediaBar 2 Toolbar / facemoods

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[patrykrazdwatrzy]

Śmiga. Wielkie dzięki i tak:

 

http://wklej.org/id/810990/ to wyświetliło się kiedy zrestartowałem komputer

http://wklej.org/id/810996/ taki raport pokazał mi program AdwCleaner

 

Jak się skończy skanować to pokażę, jeszcze nowy log

 

I teraz tak, parę pytań na koniec:

 

primo: co jak wróci, znów zrobić dwa logi i napisać?

secondo: co zrobić, żeby nie wróciło

terzo: no właśnie, niedawno wygasł mi program antywirusowy, w jaki radzisz się zaopatrzyć??? aby uniknąć podobnych problemów w przyszłości?

 

http://wklej.org/id/811002/ skan z teraz

 

A i jeszcze, o co chodzi z tym, że mam jakieś dziwne foldery, takie wyblakłe jakby, do niektórych można wejść, w niektórych jest odmowa dostępu...

 

I poza tym 3 dokumenty były na szaro, znaczy takie wyblakłe, nie wiem nie dało się w nie wejść, jakieś zapisy trzech dokumentów, o co może chodzić?

[Landuss]

Nie zrobiles loga extras, pisałem:

 

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

[patrykrazdwatrzy]

Dobra skanuję jeszcze raz, teraz z extras. Chwila, podepnę zaraz.

 

Okej jest extras, proszę też o odpowiedzi na wyżej wymienione pytania

 

Teraz trzeba "posprzątać" komputer za pomocą OTL, czy jak?

Extras.Txt

OTL.Txt

[Landuss]

Zakończ sprawę usuwania infekcji:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

primo: co jak wróci, znów zrobić dwa logi i napisać?

 

Tak, znasz zasady.

 

secondo: co zrobić, żeby nie wróciło

 

Przede wszystkim dbać o aktualizację Javy tak jak podałem wyżej bo ta infekcja wykorzystuje w niej luki.

 

terzo: no właśnie, niedawno wygasł mi program antywirusowy, w jaki radzisz się zaopatrzyć??? aby uniknąć podobnych problemów w przyszłości?

 

Najlepiej coś darmowego np. Avast, Avira lub MSSE

 

A i jeszcze, o co chodzi z tym, że mam jakieś dziwne foldery, takie wyblakłe jakby, do niektórych można wejść, w niektórych jest odmowa dostępu...

 

Zapewne chodzi ci o ukryte pliki i foldery. OTL przestawia opcję widoku i dlatego widzisz teraz te obiekty. Możesz to ponownie zmienić w panelu sterowania w opcjach folderów.

[patrykrazdwatrzy]

Dzięki, wszystko okej.