Ukash

[McDraco]

Witam serdecznie.

Spotykam sie poraz kolejny z Ukashem.. tym razem z nieustepliwym

Potrzebuje pomocy.

Korzystałem z:

ComboFix - Brak efektu

Ccleaner - Brak efektu

Autoruns - Nie moge znaleźć zagrożenia

MsConfig - To samo.

Anti-Malware - Wykrył zagrożenia usuną ale brak efektu na Ukashu.

StopZilla - Kilkugodzinne skanowanie zakonczone infomracja o zagrożeniach i potrzeba wpłaty brak efektu

AdwCleaner - Znalezione cos po wyczyszczeniu systemu brak efektu

SpyHunter - Brak efektu

Avira Premium Oryginał Aktualizowana na bierzaco - Nawet nie wykryła zagrożenia

Korzystam z FF tylko. aktualny...

Od 3 dni walcze sam.. poddaje sie...

Prosze o pomoc.

 

Działa Tryb awaryjny i windows 7..

Każde konto jakie mam utworzone jest zarażone... Nawet nowo tworzone.

Dwukrotnie już pozbyłem sie tego samym "Anti-Malware" ale tym razem rozkładam ręce...

 

Logi Z OTL.

Pozdrawiam....

Extras.Txt

OTL.Txt

[picasso]

Korzystałem z:

ComboFix - Brak efektu

Ccleaner - Brak efektu

Autoruns - Nie moge znaleźć zagrożenia

MsConfig - To samo.

Anti-Malware - Wykrył zagrożenia usuną ale brak efektu na Ukashu.

StopZilla - Kilkugodzinne skanowanie zakonczone infomracja o zagrożeniach i potrzeba wpłaty brak efektu

AdwCleaner - Znalezione cos po wyczyszczeniu systemu brak efektu

SpyHunter - Brak efektu

Avira Premium Oryginał Aktualizowana na bierzaco - Nawet nie wykryła zagrożenia

 

AdwCleaner w ogóle nie służy do usuwania takich infekcji, na forum jest stosowany w całkiem innym celu, a że akurat w tematach z tą infekcją to zbieg okoliczności (użytkownicy mają ogólny syf i tyle). I Ty masz adware v9, ale akurat tego nie usuwa AdwCleaner. StopZilla i SpyHunter to programy wątpliwej reputacji. Użycie ComboFix było zbędne. To jest banalna infekcja wbrew pozorom. Wpisem infekcji jest ten:

 

O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe (Microsoft Corporation)

 

Wpis jest w kluczu HKEY_LOCAL_MACHINE (globalny), dlatego efekt widać na wszystkich kontach. W msconfig (jak również i Autoruns) wpis dobrze widoczny, tylko prawdopodobnie nie skojarzyłeś go z infekcją, zasugerowany "Microsoft Corporation". Dodatkowym katalogiem utworzonym przez infekcję jest "hellomoto".

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe (Microsoft Corporation)
 
:Files
C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755
C:\Documents and Settings\Michał\Dane aplikacji\hellomoto
C:\Documents and Settings\Michał\Dane aplikacji\Awoq
C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\feadv.utw
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\gr2w824j.default\extensions\ffxtlbr@Facemoods.com.xpi
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchdesktop.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware V9 Homepage Uninstaller oraz StopZilla.

 

3. Są tu odpadkowe komponenty GFI/Sunbelt. Zastosuj narzędzie VClean.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[McDraco]

Wielkie dzięki za pomoc.

Faktycznie zasugerowany dopiskiem Microsoft dałem sobie na luz z tym..

Hellomoto od początku wydawał mi się podejżany.

 

LOG Z OTL

 

Pomogło, zrobiłem wszystko jak kazałaś.

OTL.Txt

[picasso]

Sprawa rozwiązana i kończymy:

 

1. Wyczyść po narzędziach: przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare Adobe i Java (KLIK) + zaktualizuj Microsoft SQL Server 2005 (KB913089). Tu spis z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 26
"{8E9DB7EF-5DD3-499E-BA2A-A1F3153A4DF8}" = Adobe Flash Player 9 ActiveX (wtyczka dla IE)
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1165635.dll (Adobe Systems, Inc.)

 

 

PS. Gadu-Gadu 10 = obejrzyj alternatywne programy z obsługą sieci Gadu, mniej inwazyjne dla zasobów: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[McDraco]

Wielkie dzięki jeszcze raz.

Zrobiłem zgodnie z tym co napisałaś.

Co do gg Mało z tego korzystam. Ale dzieki za uwagę zastosowałem się.