Ukash - proszę o pomoc

[KiecolPB]

Cześć, krótko zwięźle i na temat. Wczoraj surfowałem po internecie i wyłapałem ukasha, Malwarebytes Anti Malware, Hitman Pro oraz bawienie sie w OTL'u nie pomogło. Mógłbym prosić o pomoc?

 

Logi:

OTL.txt

Extras.txt

[picasso]

bawienie sie w OTL'u nie pomogło

 

Na czym polegała "zabawa", co robiłeś?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe ()
O4 - HKCU..\Run: [GarenaMessenger] "C:\Programy\Garena Plus\GarenaMessenger.exe" File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programy\Garena Plus\x86\tcpiphlp.sys -- (tcpip helper)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Scutum50.sys -- (Scutum50)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RT2860.sys -- (RT80x86)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programy\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver)
 
:Files
C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395
C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto
C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\73yoa3xp.default\searchplugins\sweetim.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Yontoo 1.10.02. W Firefox w Dodatkach powtórz usuwanie Yontoo. W Google Chrome zmień stronę startową ze home.sweetim.com.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[KiecolPB]

Przeglądałem YouTube i chciałem się zarejestrować w usłudze Google AdSense, po przeniesieniu mnie z Wikipedii na "oficjalnego" polskiego bloga wyskoczyło to gówno, więc myślę że od tego. Yontoo w dodatkach już nie ma po usunięciu go poprzez Panel Sterowania. Korzystam z Mozilli Firefox nie z Google Chrome ale zrobiłem i tak to co zaleciłaś.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Pytałam co próbowałeś robić w OTL, gdyż Twoja poprzednia wypowiedź sugerowała operacje w tym programie.

 

1. Zmieniłeś stronę startową w Google Chrome, ale w międzyczasie śmieć SweetIM rozpanoszył się w innych miejscach. W opcjach w zarządzaniu wyszukiwarkami zmień domyślną ze SweetIM Search na cokolwiek innego + po tym usuń SweetIM Search z listy, ponadto w Rozszerzeniach odmontuj wtyki związanie ze Sweetem.

 

2. AdwCleaner nie wyciął SweetIM z preferencji Firefox. Zamknij tę przeglądarkę. Otwórz do edycji w Notatniku plik:

 

C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\73yoa3xp.default\prefs.js

 

W pliku tym wytnij linie browser.search.defaultenginename, keyword.URL oraz wszystkie spełniające warunek sweetim.*. Zapisz zmiany w pliku.

 

3. Dla potwierdzenia w/w zmian zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[KiecolPB]

A w OTL to wklejałem tylko skrypty które zobaczyłem na tym forum ponieważ myślałem że są uniwersalne.

 

Co do Rozszerzeń w Google Chrome:

 

Ech... nie masz żadnych rozszerzeń ( Czy chcesz przejrzeć galerię?

 

 

 

"oraz wszystkie spełniające warunek sweetim.*" - wykonane

 

"browser.search.defaultenginename, keyword.URL" - nie było nic takiego, oprócz:

Nie będzie to ten wers podkreślony na czerwono?

Przepraszam za to że pomyślałem że jesteś facetem, no ale pewnie już nie raz spotkałaś się z taką sytuacją.

Log:

OTL.Txt

[picasso]

Nie będzie to ten wers podkreślony na czerwono?

 

Nie, browser.search.defaultenginename oraz browser.search.defaulturl to różne wartości. Chodziło mi o wycięcie:

 

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

 

Ale coś tu się zmieniło między ostatnim logiem OTL a aktualnym. Nie ma już tego widzialnego. Podobnie jak i rozszerzeń SweetIM w Google Chrome. Nie wiem skąd te różnice między logami, skoro ręcznie tego nie usuwałeś. W każdym razie zostało:

 

1. Dla kosmetyki preferencji Liska możesz usunąć z prefs.js to co podkreśliłeś na czerwono, bo to pusta wartość:

 

FF - prefs.js..browser.search.defaulturl: ""

 

Poza tym, nadal widać to:

 

FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10011&q="

 

W pasku adresów Firefox wklep about:config, wyszukaj keyword.URL i z prawokliku zresetuj do poziomu domyślnego.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Przeprowadź podstawowe aktualizacje oprogramowania: KLIK. Z Twojej listy zainstalowanych o które wersje mi chodzi:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

 

To m.in. dziurawa Java jest przyczyną infekcji.

 

 

PS. I jeszcze poboczny komentarz na temat pamięciożernego Gadu-Gadu 10. Sugeruję obejrzenie znacznie lżejszych alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[KiecolPB]

Zaktualizowałem wszystko i zrobiłem tak jak trzeba. A co do GG to zajmę się tym potem, dzięki za radę i za pomoc. Jak będę miał troche kasy to wspomogę forum, aż głupio by było się nie odwdzięczyć, nawet symbolicznie. Jeszcze raz dziękuje!