Wirus Ukash Policja

[matiszu]

Witam, dzisiaj z rana przeglądałem sobie internet.. aż w pewnym momencie wyskoczył mi komunikat z tym znanym wirusem "policja"
... Od dłuzszego czasu właczał sie laptop strasznie powoli i był zamulony... Najwazniejsze żeby odzyskać zdjęcia bo mam ich strasznie dużo. Pierwszy raz jak wyskoczył komunikat to po 2 min się wyłaczył i od razu poczytałem o tym i użyłem spyhunter, usunąłem go ale chyba nie do końca, jak uruchomiłem komputer ponownie to pojawia się biały ekran po chwili znika i zostaje sama tapeta bez włączania explorer.exe, ale jak klikam przycisk z wyłączaniem komputera to przed wyłączeniem pojawia się wszystko, cały pulpit... Proszę o pomoc;C

 

Extras.Txt

OTL.Txt

[picasso]

SpyHunter = skaner wątpliwej reputacji, praktyki nie do przyjęcia w przeszłości. I nic nie usunął, infekcja w pełnej krasie. W systemie działa też adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Files
C:\Windows\SysWow64\mswinzoke.dll
C:\Windows\SysWow64\msticzokd.dll
C:\Windows\SysWow64\wudcache.dll
C:\Windows\SysWow64\thunk.dll
C:\Windows\SysWow64\WinSycom.dat.dll
C:\Users\Matisz\AppData\Roaming\skype.dat
C:\Users\Matisz\AppData\Roaming\skype.ini
C:\Users\Matisz\AppData\Roaming\BabMaint.exe
C:\Users\Matisz\AppData\Roaming\BabSolution
C:\Users\Matisz\AppData\Roaming\Babylon
C:\Users\Matisz\AppData\Roaming\Etaz
C:\Users\Matisz\AppData\Roaming\Leyxu
C:\Users\Matisz\AppData\Roaming\Lizye
C:\Users\Matisz\AppData\Local\Temp*.html
C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
netsh advfirewall reset /C
 
:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2013/03/01 02:23:15 | 000,000,000 | ---D | M]
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2013/03/01 02:23:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\ocr@babylon.com [2012/12/29 14:41:54 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2013/03/01 02:23:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox [2013/03/01 02:23:15 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{0F827075-B026-42F3-885D-98981EE7B1AE}: C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2013/04/25 22:13:21 | 000,000,000 | ---D | M]
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=410&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=410&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-2218008928-1556485618-1369190443-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119828&babsrc=SP_ss&mntrId=a4366488000000000000c217fe6f920d
IE - HKU\S-1-5-21-2218008928-1556485618-1369190443-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=410&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-2218008928-1556485618-1369190443-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8QiJw790&i=26
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2218008928-1556485618-1369190443-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O8:64bit: - Extra context menu item: Translate this web page with Babylon - Reg Error: Value error. File not found
O8:64bit: - Extra context menu item: Translate with Babylon - Reg Error: Value error. File not found
O8 - Extra context menu item: Translate this web page with Babylon - Reg Error: Value error. File not found
O8 - Extra context menu item: Translate with Babylon - Reg Error: Value error. File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny. Blokada zniknie.

 

2. Przez Panel sterowania odinstaluj adware BrowserProtect, Complitly, Delta toolbar, Delta Chrome Toolbar, IB Updater 2.0.0.578, IB Updater Service, Searchqu Toolbar. Pozbądź się też zbędnego Akamai NetSession Interface oraz SpyHunter.

 

3. Następnie wyczyść adware w przegldarkach:

- Google Chrome: w Rozszerzeniach odinstaluj Complitly plugin for chrome, IB Updater.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

[matiszu]

Wszystko elegancko działa, dzięki wielkie: ) Jak bedę miał troche pieniązków na koncie to dotacja się nalezy:). Tylko martwi mnie dalej wolne uruchamianie systemu: (


Edit. Ajć wtedy zapomiałem, że używałem skana z pendrive którego otla ściagałem dzisiaj a teraz użyłem z twardego dysku którego miałem kiedyś

AdwCleanerS2.txt

OTL.Txt

[picasso]

Ale Ty teraz zrobiłeś raport ze starego OTL 3.2.31.0 (w pierwszym poście była poprawna najnowsza wersja 3.2.69.0)! Proszę zrobić raport z najnowszej wersji, podmienić załącznik w powyższym poście i na PW zawiadomić o edycji.

EDIT: Log podmieniony. W ramach zakończeń:

1. Poprawki. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
"{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Przez SHIFT+DEL skasuj te obiekty z dysku:

C:\Users\Matisz\Desktop\Stare dane programu Firefox
C:\Program Files (x86)\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\spyhunter.fix
C:\shldr.mbr
C:\shldr

3. Porządki po narzędziach: odinstaluj UsbFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Odinstaluj wszystkie stare Adobe i Java, zastąp najnowszymi (o ile potrzebne), oraz zaktualizuj systemowy IE: KLIK. To m.in. luki Java są przyczyną tej infekcji. Wg raportu są zainstalowane następujące wersje:

Internet Explorer (Version = 8.0.7601.17514)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)
"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit (wtyczka dla IE)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_171.dll ()

 

 

Tylko martwi mnie dalej wolne uruchamianie systemu: (

 

Proponuję:
- Odinstalować w pierwszej kolejności Avira AntiVir Personal i sprawdzić czy to miało jakiś wpływ. To i tak stara wersja.
- Odinstalować zintegrowane firmowo aplikacje, jeśli nie używasz. Np. CyberLink, Norton Online Backup, NTI Backup, Podstawowe programy Windows Live. Odpadnie kilka procesów.


.