Komputer został zablokowany przez wirus Ukash

[Wooojciech1983]

Wirus uaktywania się dopiero po włączeniu internetu.

Bardzo proszę o pomoc, oto logi OLT:

http://www.wklejto.pl/136450

http://wklejto.pl/136451

 

Log z Farbar Service Scanner:

http://www.wklejto.pl/136464

[picasso]

Prócz infekcji UKASH są tu także ślady rootkita ZeroAccess (uszkodzony Winsock oraz link symboliczny) oraz podpinania zainfekowanych urządzeń USB. Przechodząc do usuwania infekcji:

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\$NtUninstallKB3255$
C:\WINDOWS\3203397148
C:\WINDOWS\system32\drivers\etc\hosts

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

netsh winsock reset /C
netsh firewall reset /C
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB3255$ /C
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
%userprofile%\Menu Start\Programy\Autostart\ctfmon.lnk
%userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\70n0q65z.default\searchplugins\askcom.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
DRV - [2012-10-19 18:53:20 | 000,000,000 | ---- | M] () [Kernel | Disabled | Unknown] -- C:\WINDOWS\3203397148 -- (1cf6efbe)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Sony\PMB\PMBDeviceInfoProvider.exe -- (PMBDeviceInfoProvider)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe -- (hpqwmiex)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
SRV - File not found [Disabled | Stopped] -- c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe -- (btwdins)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
IE - HKU\S-1-5-21-861677593-1018952770-3741208488-1006\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US"
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-861677593-1018952770-3741208488-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-861677593-1018952770-3741208488-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

4. Przez Panel sterowania odinstaluj adware i śmieci: eMusic - 50 Free MP3 offer, McAfee Security Scan Plus, Winamp Toolbar for Internet Explorer, Yahoo! Toolbar.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz USBFix z opcji Listing. Dołącz log z usuwania AdwCleaner z punktu 5.

 

 

 

.

Edytowane 28 Listopada 2012 przez picasso
28.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso