Ukash, zablokowany dostęp do komputera

[raszej]

Witam,

 

Dziś mój komputer został zainfekowany wirusem Ukash polska policja ktory blokuje mi dostep do komputera.

Wykonałem logi programami OTL i GMER w trybie awaryjnym z obsługą wiersza poleceń.

 

Bardzo proszę o pomoc.

Pozdrawiam.

 

 

OTL.Txt

Extras.Txt

GMER.txt

[diox]

1. Uruchom OTL i w pole Własne opcje skanowania/skrypt wklej:

 

:OTL

O20 - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001 Winlogon: Shell - (C:\Users\lapek\AppData\Roaming\skype.dat) - C:\Users\lapek\AppData\Roaming\skype.dat ()

:Files
C:\Users\lapek\AppData\Roaming\skype.ini
C:\Users\lapek\AppData\Roaming\skype.dat

:Commands
[emptytemp]

 

Wciśnij Wykonaj skrypt. Nastąpi restart systemu, spróbuj zalogować się do systemu i powiedz, czy blokada nastąpiła.

 

2. Zrób nowe logi z OTL i GMER.

 

 

 

.

[picasso]

Wymagane szersze instrukcje, jest tu przecież też infekcja fałszywym skanerem System Care Antivirus (blokująca określone usługi Windows), adware i podejrzane strumienie ADS.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Users\lapek\Desktop\System Care Antivirus.lnk
C:\Users\lapek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
C:\ProgramData\300B848C8D092A860000300B54893280
C:\Users\lapek\AppData\Roaming\skype.ini
C:\Users\lapek\AppData\Roaming\skype.dat
C:\Users\lapek\AppData\Roaming\Babylon
@C:\Windows\System32:1464242f5a
@C:\Windows:ecde8b8c58b22
@C:\ProgramData:fe93a19e34e9a
@C:\ProgramData:3f80b7866a646e
@C:\Program Files\Common Files:51059ffaeb890
@C:\Users\lapek\AppData\Local\Temp:e8b2c7d9db
@C:\Program Files\AcGasSynchro II:60609da9
 
:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\dggwmwtz.sys -- (dggwmwtz)
O4 - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001..\RunOnce: [300B848C8D092A860000300B54893280] C:\ProgramData\300B848C8D092A860000300B54893280\300B848C8D092A860000300B54893280.exe ()
O7 - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} "http://cad.festo.com/fastpreview/cnsweb3d.cab" (Reg Error: Key error.)
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A33CDB93-A03A-4A4E-AD38-3FA54F194D9E}
IE - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_1&babsrc=SP_ss&mntrId=30032a8600000000000000225f11f8df
IE - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001\..\SearchScopes\{5F5C6769-5FC5-4C3C-838A-8B5074D56A0E}: "URL" = http://www.bing.com/search?FORM=NP24DF&PC=NP24&q={searchTerms}&src=IE-SearchBox
IE - HKU\S-1-5-21-3920273590-2989301849-1177123526-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A33CDB93-A03A-4A4E-AD38-3FA54F194D9E}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Obie blokady znikną. Przejdź w Tryb normalny w celu wykonania kolejnych akcji:

 

2. Przez Panel sterowania odinstaluj adware Softonic toolbar  on IE.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 17 Maja 2013 przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso