Zablokowany pulpit przez Ukash

[anka]

Witam.

 

Mój komputer został zainfekowany przez Weelsof, standardowo pojawił się komunikat o zablokowaniu komputera oraz informacje dotyczace uzyskania kodu Ukash i zapłaty za jego uzyskanie.

Pulpit jest w całości "zasłonięty", a menadżer zadań nie działa.

 

Mój system to Windows 7 Home Premium 64-bit.

 

W trybie awaryjnym wykonałam potrzebne do diagnozy logi, jeśli coś pominęłam proszę o informację, gdyż nie znam się na tej dziedzinie, ale starałam się wykonać instrukcje podane przy opisie zakładania tematu.

 

Bardzo proszę o pomoc!

 

 

Results of screen317's Security Check version 0.99.49

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Internet Explorer 8 Out of date!

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Windows Firewall Enabled!

avast! Antivirus

Antivirus up to date! (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

Java 6 Update 26

Java version out of Date!

Adobe Flash Player 10 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Google Chrome 21.0.1180.79

Google Chrome 21.0.1180.83

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

log.txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}"
IE - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"
[2012/05/30 17:15:33 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\bunia\AppData\Roaming\Mozilla\Firefox\Profiles\dvhkqbah.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2012/05/30 17:15:34 | 000,003,915 | ---- | M] () -- C:\Users\bunia\AppData\Roaming\Mozilla\Firefox\Profiles\dvhkqbah.default\searchplugins\sweetim.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001..\Run: [ucfpqvunpchnsis] C:\Windows\ucfpqvun.exe (TechnoTrend AG)
 
:Files
C:\ProgramData\rhfjcqonphaohmj
C:\ProgramData\ovvknrwyxstdwnb
C:\Users\bunia\AppData\Local\t65.dat
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-4136833784-3193893645-4121945135-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[anka]

Dzięki wielkie za szybką odpowiedź !

 

Wykonałam wszystkie instrukcje i załączam nowy log

OTL.Txt

[Landuss]

Wszystko zostało poprawnie usunięte. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.